Abuse Melding

Je hebt een klacht over de onderstaande posting:

11-07-2016, 15:52 door Anoniem

Door Anoniem: beter 1 corrupte file dan 1 versleutelde disk. Hehe, dat klopt maar in het geval van in-place encryptie bedoelde ik dat de ransomware een file heeft welke niet meer te ontcijferen is door de aanvaller, het zal rustig alle files versleutelen. De gebruikelijke ransomware werkt als volgt (uit mijn hoofd, is al een tijdje geleden dat ik in de analyses was gedoken van de diverse API calls): - zoek naar bestanden met bepaalde extensies - open het origineel - maak een nieuw kopie (vaak met random extensie) - schrijf de versleutelde data in de kopie - wanneer compleet: verplaats kopie naar origineel = overschrijven of - verwijder origineel (kan meestal teruggehaald worden) In-place gaat als volgt: - open het origineel in geheugen - lees x bytes - versleutel en overschrijf de x gelezen bytes - herhaal tot alle bytes encrypted zijn (zelfs een klein deel versleutelen kan al genoeg zijn = tijdswinst) - bewaar/sluit het bestand - extensie kan ongewijzigd blijven (echter lastig voor "eind-gebruiker", ...

Beschrijf je klacht (Optioneel):

captcha