暗号化につながるソースファイルに対するLockyのアクションは何ですか?
ランサムウェア Locky のリスクを軽減するための可能なアクションについての議論中に、誰かが File Serverを介して.lockyファイルの作成をOSレベルで防止する可能性を指摘しましたResource Manager 。そのアイデアは、.lockyファイルを作成することが不可能であることが、実行マルウェアを妨害する可能性があるというものでした。
私はこの手法の効率について非常に懐疑的ですターゲットファイルを処理するときにLockyが使用する方法を理解したいと思います。
暗号化がどのように行われるかについては興味がありませんが、正しいファイルから暗号化されたバージョンに至るまでのステップは何ですか(特に:Lockyがファイルの暗号化に失敗した場合に何が起こり、コンテンツが成功した後にファイルがどうなるか)暗号化されているかどうか)。
そのような分析はありますか?
Lockyがファイルの暗号化に失敗するとどうなりますか? Lockyは、C&Cサーバーの1つに到達できない場合、暗号化に「失敗」します。 C&Cサーバーにある秘密鍵を受信しようとします。 Lockyは、暗号化中にすべてのLockyプロセスがキャンセルされない限り、秘密鍵を取得すると暗号化に失敗することはありません。これは、ファイルが破損する可能性が高いことを意味します。
ファイルのコンテンツが(成功したかどうかにかかわらず)暗号化された後はどうなりますか?暗号化されたファイルのコンテンツはすべてスクランブルされます。このファイルのサイズは異なり、エントロピーも高くなります。失敗した暗号化ファイルの内容はおそらく同じです。ただし、暗号化されていないファイルの元のコンテンツよりもコンテンツが小さくなる場合があります。また、秘密鍵を使用して復号化すると、ファイルが破損する可能性が高くなります。