Frage:
Wie kann Ransomware Dateitypen kennen?
Hwan
2016-11-03 17:35:55 UTC
view on stackexchange narkive permalink

Wenn Ransomware die Dateien des Opfers im Scanschritt durchsucht, wie kann Ransomware die Dateitypen ermitteln?

Es kann den Dateinamen (z. B. book.pdf ) oder die Dateisignaturen überprüfen.

Ich frage mich, wann ich die Erweiterung im Namen meiner Datei ändere (z. B. book.pdf -> book.customEX ). Ich denke, dass Ransomware meine Dateien nicht finden sollte, so dass das Verschlüsseln von Dateien auch nicht möglich ist.

Kann ich einige Meinungen oder Ratschläge haben?

Hallo, können Sie uns sagen, nach welchem Betriebssystem Sie fragen?Ich habe den Verdacht, dass dies unter Windows und * nix anders funktioniert.
Ich spüre hier eine zugrunde liegende Frage: "Kann ich mich schützen, indem ich die Dateierweiterungen ändere?"Die Antwort ist vielleicht teilweise, aber es wird alle möglichen lästigen Nebenwirkungen verursachen.Der beste Schutz vor Ransomware sind immer noch gute Backups.
Wenn ich eine Ransomware schreiben wollte, würde ich die Wahl treffen, * alles * zu verschlüsseln, außer den Dingen, von denen ich weiß, dass sie zum Starten des Systems erforderlich sind, und meine Anweisungen zur Bezahlung zu zeigen.Insbesondere gibt es keinen Grund, eine Datei im Benutzerverzeichnis nicht zu verschlüsseln, da dies vom System zum Booten sicherlich nicht benötigt wird.
Die meisten Benutzer haben ihre Dateien in "C: \ Benutzer \ Ihr Name \ Dokumente" oder in "C: \ Benutzer \ Ihr Name \ Desktop".Warum also nicht einfach jede Datei an diesen beiden Orten verschlüsseln? Die Suche nach Erweiterungen macht keinen Sinn, wenn Sie mich fragen.
Warum sollte sich Ransomware für die Erweiterung einer Datei interessieren?Es verschlüsselt einfach alles - darum geht es bei Ransomware.Das einzige, was nicht verschlüsselt wird, sind Dateien, die zum Starten des Systems erforderlich sind.
@XaverKapeller und andere, ob Sie zustimmen oder nicht, eine der wichtigsten Ransomware-Varianten, CryptoLocker _ \ * verwendet \ * _ eine Whitelist von Dateierweiterungen, es verschlüsselt sicherlich nicht alles.[\ [Quelle] (https://en.wikipedia.org/wiki/Ransomware#CryptoLocker) \].
@Bakuriu Wie wäre es mit bekannten Klartextangriffen?Wenn Sie auch eine bekannte Datei verschlüsseln (z. B. das Standard-Hintergrundbild), wird möglicherweise ein Angriffsvektor gegen Ihre Verschlüsselung geöffnet.
@DanielJour Richtige Verschlüsselungsalgorithmen können nicht durch bekannte Klartextangriffe beschädigt werden. Außerdem verwendet die Ransomware möglicherweise für jede Datei einen anderen Verschlüsselungsschlüssel. Selbst wenn ein solcher Fehler entdeckt wird, kann dies nur dazu beitragen, eine Datei zu entschlüsseln.
@DanielJour Auch wenn es anfällig ist, richtet sich Ransomware nicht unbedingt an Kenner, wie sie ihr Problem ohne Bezahlung beheben können, sondern an Personen, die ausflippen und ohne viel Einsicht bezahlen.Wenn ich in hundert Stunden etwas geschrieben habe und tausend Menschen infiziert habe, hat dies keinen Einfluss auf meine Gewinne, wenn 10% davon Experten für Informationssicherheit waren und es selbst repariert haben.Vor allem, wenn ich 50% länger gebraucht hätte, um diesen Fehler zu beheben.
Warum muss es wohl die Dateitypen kennen?
In Windows. Warum ich diese Frage stelle, ist, dass ich einige Artikel gelesen habe und die besagten, dass einige Ransomware nach bestimmten magischen Dateienummern (wie Word, PDF, Ppt usw.) sucht und diese Dateien verschlüsselt.Also dachte ich mir, kann ich meine Dateien mit Änderungserweiterungen oder magischen Nummern schützen?
Ich meine, dass es zum Beispiel eine Datei präsentation.ppt unter C: \ Users \ Lecture gibt.Dann ändere ich den Dateityp präsentation.pork und schreibe ein benutzerdefiniertes openwith-Programm, das das richtige EXE-Programm verbindet.Die Ransomware interessiert sich also nicht für diesen Typ (.pork), daher sind meine Dateien sicher. Ich bin damit einverstanden, dass der beste Schutz gute Backups sind.Aber ich dachte mir eine andere Art, meine Dateien zu schützen.
Wie Bakuriu sagte, fehlt es mir an Gedanken, alles außer dem Boot-System zu verschlüsseln.Ich denke nur, dass Ransomware finden muss, was sie verschlüsselt. Vielen Dank an alle, die meine Frage beantwortet haben!Ich habe viel gelernt.
Fünf antworten:
Mike Ounsworth
2016-11-03 17:50:25 UTC
view on stackexchange narkive permalink

Zunächst einmal sind nicht alle Ransomware gleich: Wie bei jeder Software sind einige Ransomware gut geschrieben, während andere schlecht geschrieben sind. Auf wikipedia / ransomware erhalten Sie einen Überblick über die wichtigsten Ransomware-Varianten. Einige Ransomware-Programme - insbesondere CryptoLocker - verwenden Listen mit Dateierweiterungen, um zu entscheiden, welche Dateien verschlüsselt werden sollen, und warum nicht. Benutzer, die über ausreichende Kenntnisse verfügen, um ihre Dateierweiterungen zu ändern, verfügen wahrscheinlich über Backups und werden Sie sowieso nicht bezahlen. Wie @usr hervorhebt, können Sie mit einfachen Ansätzen immer noch viele Leute erreichen. Allerdings ist einige Ransomware wie CryptoWall sehr ausgefeilt, und obwohl ich nicht weiß, wie es funktioniert, kann ich darüber spekulieren, was möglich ist.

Wie Sie sagen, enthalten Dateien häufig ein " Dateisignatur "- Ein kurzer Hex-Code am Anfang der Datei, der angibt, um welchen Dateityp es sich handelt. Hier sind zwei Listen dieser "magischen Zahlen" aus Wikipedia: [1], [2].

Das Windows-Betriebssystem selbst ist ziemlich stark abhängig Dateierweiterungen im Dateinamen und sind notorisch spröde, wenn Sie sie ändern, aber das bedeutet nicht, dass jede Software so schrecklich sein muss.

Zum Beispiel gibt es ein Standard-Unix-Dienstprogramm namens Datei , die die magische Zahl überprüft und Ihnen sagt, um welchen Dateityp es sich handelt. Es gibt keinen Grund, warum Ransomware nicht dasselbe tun kann.

enter image description here

Tangentiale Frage: Ist "Datei" ein zuverlässiges Dienstprogramm zum Bereinigen von Dateien, die von Benutzern auf einer Website hochgeladen wurden, oder ist es leicht zu fälschen?
@user1717828 gute Frage, ich stelle mir vor, Sie könnten die magische Zahl in der Datei hexadezimal bearbeiten und sie täuschen, aber dann wird das Betriebssystem sie wahrscheinlich genauso behandeln wie "Datei", so dass Sie argumentieren könnten, dass ein hexadezimal bearbeiteter "pptx" tatsächlich _is_ ist.ein korruptes `jpg`.Werfen Sie einen Blick auf die Manpage, auf die ich verweise, und Sie werden sehen, welche Arten von Überprüfungen "Datei" ausführt.Ich denke, es hängt wirklich davon ab, wofür Sie sanieren wollen.Jede Textdatei mit gesetztem + x-Bit wird zu einem Shell-Skript ...
hmm .. riecht nach einer Code-Herausforderung.Könnte es eine Datei geben, die tatsächlich als gültiges JPG und gültiges PPTX gerendert werden kann, wenn Sie die magischen Zahlen ändern (oder zwei verschiedene binäre Dateitypen ...)?
@Falco Schau dir diesen Vortrag an!https://media.ccc.de/v/31c3_-_5930_-_en_-_saal_6_-_201412291400_-_funky_file_formats_-_ange_albertini
@user1717828, Nr.Triviales Gegenbeispiel: Wenn Sie eine Zip-Datei mit dem Ende eines JPEG verknüpfen, erhalten Sie eine Datei, die gleichzeitig ein gültiges Zip-Archiv (das Zip-Format funktioniert ab dem Ende der Datei rückwärts) und ein gültiges JPEG-Bild (JPEG nicht) enthältsich um alles kümmern, was über das Ende der Bilddaten hinausgeht).
@Mark, gibt es ein gutes Beispiel für eine ähnliche Technik, die HTML in den JPEG-Kommentarbereich verschachtelt: http://lcamtuf.coredump.cx/squirrel/
@Kevin Wie genau wurde das gemacht?Ich habe keine Erwähnung des Kommentarbereichs auf dieser Site gefunden.
@fadelm0 Diese Seite ist eine JPEG-Datei mit HTML im Kommentar. HTML wird aufgrund des Verlaufs immer lose analysiert, sodass der Browser alle seltsamen Binärdaten verwirft.
Während Ransomware die Header-Erkennung verwenden kann, um auf den Dateityp zu schließen, gibt es meines Erachtens zwei gute Gründe dafür: - Zum einen werden mehr zufällige Lesevorgänge von der Festplatte durchgeführt, was das Scannen der Ordner erheblich verlangsamen kann(und der Verschlüsselungsprozess) und zwei Ransomware-Autoren kümmern sich nicht darum, ALLE PCs zu verschlüsseln, die sie infizieren. Es ist ein Spiel mit Zahlen. Wenn sie 99% der PCs infizieren und verschlüsseln können, ist es ihnen egaldie restlichen.
@AntonBanchev Wie ich bereits in diesem Thread zu anderen gesagt habe, handelt es sich um Spekulationen, oder können Sie eine Referenz dafür bereitstellen?
@MikeOunsworth Es ist eine fundierte Vermutung, dass Sie mehrere Ransomwares in einer VM ausführen können, um sie zu testen, aber ich denke, wir wissen beide, was das Ergebnis sein wird.
-1
Wenn ich solche Malware schreiben würde, würde ich mich für die Dateierweiterung entscheiden.Es ist 99,999% genug, wenig Aufwand und weniger fehleranfällig als die Erkennung von Inhalten.Es ist der richtige Kompromiss.
@Mark: Aber eine PPTX-Datei ist eine ZIP-Datei mit einer Reihe von XML-Dateien…
GAD3R
2016-11-04 15:50:53 UTC
view on stackexchange narkive permalink

Das Schadprogramm erkennt Ihre Dateien anhand seiner Signaturen

Es gibt ein Beispiel (image.png): 

  hexdump -C image.png | head

Beispielausgabe: 

  00000000 89 50 4e 47 0d 0a 1a 0a 00 00 00 0d 49 48 44 52 | .PNG ..... ... IHDR | 00000010 00 00 02 4a 00 00 00 bc 08 06 00 00 00 87 77 81 | ... J .......... w. | 00000020 b4 00 00 00 01 73 52 47 42 00 ae ce 1c e9 00 00 | ..... sRGB ....... | 00000030 00 04 67 41 4d 41 00 00 b1 8f 0b fc 61 05 00 00 | ..gAMA ...... a ... | 00000040 00 09 70 48 59 73 00 00 0e c4 00 00 0e c4 01 95 | ..pHYs .......... | 00000050 2b 0e 1b 00 00 24 b1 49 44 41 54 78 5e ed 96 8d | + .... $. IDATx ^ ... | 00000060 ae 5d 29 08 85 fb fe 2f dd 09 e9 30 e3 a5 8a 88 |.]) .... / ... 0 ... . | 00000070 20 e8 e6 4b 48 7b e4 6f 01 bb 49 7f fd 2e 8a a2 | ..KH {.o..I ..... | 00000080 28 8a a2 28 ba d4 7f 94 8a a2 28 8a a2 28 06 d4 | (.. (...... (.. (.. |) 00000090 7f 94 8a a2 28 8a a2 28 06 d4 7f 94 8a a2 28 8a | .... (.. (...... (. |

Ich werde meine ändern image.png zu Ihrer benutzerdefinierten Erweiterung customEX , dann erhalte ich den Hexdump

Wieder führe ich hexdump -C image.customEX | head aus

Es gibt die Ausgabe: 

  00000000 89 50 4e 47 0d 0a 1a 0a 00 00 00 0d 49 48 44 52 | .PNG .... .... IHDR | 00000010 00 00 02 4a 00 00 00 bc 08 06 00 00 00 87 77 81 | ... J .......... w. | 00000020 b4 00 00 00 01 73 52 47 42 00 ae ce 1c e9 00 00 | ..... sRGB ....... | 00000030 00 04 67 41 4d 41 00 00 b1 8f 0b fc 61 05 00 00 | ..gAMA ...... a ... | 00000040 00 09 70 48 59 73 00 00 0e c4 00 00 0e c4 01 95 | ..pHYs .......... | 00000050 2b 0e 1b 00 00 24 b1 49 44 41 54 78 5e ed 96 8d | + .... $. IDATx ^ ... | 00000060 ae 5d 29 08 85 fb fe 2f dd 09 e9 30 e3 a5 8a 88 |.]) .... / ... 0 .. .. | 00000070 20 e8 e6 4b 48 7b e4 6f 01 bb 49 7f fd 2e 8a a2 | ..KH {.o..I ..... | 00000080 28 8a a2 28 ba d4 7f 94 8a a2 28 8a a2 28 06 d4 | (.. (...... (.. (.. |)
00000090 7f 94 8a a2 28 8a a2 28 06 d4 7f 94 8a a2 28 8a | .... (.. (...... (. |

Wie Sie sehen können Die Signatur der Datei bleibt unverändert und kann anhand der List_of_file_signatures 

  89 50 4E 47 0D 0A 1A 0A
überprüft werden

Kann ich einige Meinungen oder Ratschläge haben?

Sie müssen regelmäßig sichere Sicherungen Ihrer Daten erstellen (externe Festplatte ...) und das Gerät physisch von Ihrem trennen PC.

Also, magische Zahlen?Haben Sie eine Referenz, die besagt, dass Ransomware tatsächlich magische Zahlen überprüft und nicht nur die Dateierweiterung?
ja @schroeder, http://security.stackexchange.com/questions/124261/is-there-a-ransomware-variant-that-checks-for-files-magic-numbers-to-encrypt
@jmingov gibt es einen einzigen Verweis auf einen Subtyp, der dies tut.Die eine Antwort besagt aber auch, dass "die meisten Erweiterungen betrachten", was ein Gegenargument zu sein scheint und keine Referenz, die dies als Antwort unterstützt ...
Cc Dd
2016-11-04 10:05:30 UTC
view on stackexchange narkive permalink

Die von mir entfernte Ransomware sucht normalerweise nach allgemeinen Dateierweiterungen. Wenn sie eine Übereinstimmung finden, führen sie ihr Verschlüsselungsskript aus und wechseln zur nächsten Datei.

Sie können sich auch den Header der Datei ansehen, aber das Ergreifen von Erweiterungen ist wahrscheinlich schädlich genug.

JL117748
2016-11-04 03:44:31 UTC
view on stackexchange narkive permalink

Ransomware unterscheidet Boot-Dateien von Nicht-Boot-Dateien, sofern sie nicht sehr schlecht geschrieben sind. Diese Erkennung basiert jedoch auf Standardeinstellungen, die für jemanden wie mich, der einen von ihm geschriebenen Bootloader / Bootsektor hat, ein Problem verursachen können. Die Ransomware verschlüsselt diese Dateien möglicherweise, da sie sie nicht erkennen kann. Das Verschlüsseln regulärer Startdateien kann jedoch eine gute Idee sein. Die Ransomware ersetzt möglicherweise den Bootloader durch einen Bootloader, der den Windows- oder Grub / Grub2-Bootloader nachahmt, diese verschlüsselten Bootdateien jedoch lesen kann. Auf diese Weise kann der Computer so eingestellt werden, dass er erst nach Zahlung des Preises startet.

Ransomware überprüft wahrscheinlich die magische Zahl.

Tatsächlich verwenden die meisten von ihnen Dateierweiterungen.Sie sind so geschrieben, dass sie schnell sind und auf die Dummen abzielen.
Cryptolocker verwendet Dateierweiterungen: https://en.wikipedia.org/wiki/Ransomware#CryptoLocker
Interessante Antwort, können Sie Quellen für Ihre Antwort angeben?
Ich habe noch keinen gesehen, der dies tut.Es klingt auch so, als wäre es viel schwieriger als es wert ist.Ganz zu schweigen davon, dass es keine Möglichkeit gibt, das Lösegeld zu zahlen, da es keinen Zugriff auf die Lösegeld-Website gibt.
James
2016-11-06 00:26:21 UTC
view on stackexchange narkive permalink

Festplattenfehler sind eine weitaus häufigere Art von Ransomware. Sichern Sie die Dateien und sichern Sie sie außerhalb des Standorts. Eine saubere Installation läuft sowieso viel besser.

Dies beantwortet die Frage nicht (und ich bin nicht sicher, ob Ihre ursprüngliche Behauptung wahr ist).


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...