典型的なランサムウェアは特定のフォルダ/ファイルタイプのみを「攻撃」しますか

（有名な）Lockyウイルスなどの典型的なランサムウェアを知っている限り、ファイル拡張子に応じて、すべてのローカルドライブとリモートドライブでファイルを暗号化します。

分解するには：

ランサムウェアはシステムをスキャンして

• ローカルドライブ（システムドライブ、セカンダリドライブ、USBドライブなど）
• リモートドライブ（samba、nfsなどのネットワーク共有）
• 特定の事前定義されたファイルタイプのファイル（例：.jpg、.avi、.doc）

この方法では、重要なOSファイルは変更されませんが、攻撃者は依然として「人質」を持っています。

知りたい場合は、システム上のどのファイルが影響を受けるか rootshell.be は バッチスクリプト を記述して、システム上のどのファイルが影響を受けるかを推定しています。スクリプトが現在使用している拡張機能は、Lockyが使用するものです。もちろん、異なるランサムウェアは異なる拡張子を使用したり、 Petya のように異なる動作をしたりすることさえできます。 Petyaは [〜＃〜] mbr [〜＃〜] を上書きし、C：\ドライブがバックグラウンドで完全に暗号化されている間に、最小限の独自のOSで起動します。

ソース（さらに読みたい場合）：

• Malwarebytes Blog on Locky
• ロッキーのTheHackerNews
• 一般的にランサムウェア上のトレンドマイクロ
• rootshell.beによるランサムウェアシミュレーションスクリプト

それはあなたのtypicalの定義に依存します-それは動くターゲットです。 Petya という名前のランサムウェアの最初のインスタンスは、ファイルを暗号化するのではなく、 マスターファイルテーブルおよびマスターブートレコード （MBR）。そしてMFTは基本的にallファイル情報を管理します。

MFTを暗号化する場合、ファイルを暗号化する必要はありません（はるかに高速です！）。 Petyaは、マスターブートレコードを、画面上のドル記号で描かれた大きくて怖い赤と白のドクロとクロスボーンで置き換えます。また、システムは再起動時に毎回MBR/MFTを読み取る必要があるため、これを回避することはできません（バックアップ以外）。

幸いなことに ランサムウェアの作成者はミスを犯しました 。そして、 データを取り戻すことは可能です が、あなたはそれを確実にすることができますa）マルウェアの次のバージョンではこれが修正され、b）模倣品もこれを実行し始めます。

攻撃者の視点から攻撃について考えます。情報を格納する可能性のある場所のみを暗号化する必要がありますか、それともOSを実行するために必要なもの以外はすべて暗号化する必要がありますか？

つまり、特定の場所を除いてすべてが暗号化されており、既知のオペレーティングシステムフォルダです。もちろん、それらは非常によく知られているので、暗号化プロセスから単純に除外して、他のすべてのものを暗号化できます。新しい暗号ロッカーバリアントにより、企業ネットワークを危険にさらしてより大きな支払いを獲得するために、実際にネットワークに移行しているため、ネットワークドライブが表示され、それらも追跡されます。もちろん、これらはランサムウェアとそのランサムウェアの亜種に依存しています。

Cryptolockerの正確な脅威に関する技術的な詳細については、具体的には https://www.us-cert.gov/ncas/alerts/TA13-309A