所有赎金软件都没有创造平等,因此,不应该普遍担心,研究人员将在本周告诉黑色帽子2015年会议。
引擎Kirda.
事实上,一些赎金软件 - 这锁定了受感染的计算机,直到支付要求的总和 - 对它能够做出的损害的虚假声明,以及据称的一些数据可以恢复,可以恢复,联合凯恩和珀尔特莱尔实验室的首席建筑师。
+也在网络世界上:足球竞猜app软件阅读所有的故事从黑帽子+
For example, certain families of ransomware threaten to delete files, but the method they use to do so doesn’t securely wipe them from the disk, he says, and as a result, “there is a good chance that the deleted files can be recovered.”
他说,一些赎金软件 - 特别是Cryptolocker和Cryptowall - 做好加密数据,直到受害者支付解密,他说。“然而,许多其他赎金瓶家庭也存在在密码学中做出糟糕的工作,”他在一份白皮书中说,他会在会议上发布。
他发现了一种Gpcode勒索软件的变种,它使用了一个静态密钥,可以通过比较加密文件和原始文件并解锁来恢复该密钥。类似地,TeslaCrypt说它使用的是非对称RSA 2048加密,但事实并非如此。他说,取而代之的是使用了对称的AES加密,这种加密已经被成功破解。他说:“不要认为勒索软件意味着一切都消失了。”
Kirda说,在企业环境中停止赎金软件的好方法是在安全网关中捕获它。可以完成,因为恶意软件必须执行某些可检测功能以便进行损坏。它必须在不同的驱动器和目录中反复上工作,在分析赎金软件样本时可以容易地检测到的内容。并且赎金软件宣布本身才能要求付款。他说,这也是在分析下显而易见的特征。
他在2006年至2014年间在野外观察到了1,359个活跃的赎金软件样本。其中61%只针对受害者机器的桌面,而不是文件系统中的任何文件。他们使用了一种定制和标准化的加密系统的混合,例如Windows系统中的CryptoAPI。“在所有这些库中广泛使用后,它们易于使用,”他说。
