「サイレント」クリプトロッカーはありますか？

Question

数日前、私はクリプトロッカーについてのウェブサイトでの議論に気づきました。誰かが、cryptolockerはすべてのファイルを暗号化してからユーザーに表示されるまで、サイレントに動作すると述べました。

有効な方法は、すべてのファイルをサイレントに暗号化することでした。それが完了した後、cryptolockersは数週間待機してそれ自体をアクティブ化するため、現在利用可能なバックアップはありません。ユーザーが待機期間中にドキュメントを開こうとすると、cryptolockerはファイルをすばやく復号化するため、暗号化に気付くことはありません。

これが本当かどうかはわかりませんが、その特定の人以外にこのテクニックについて話す人は誰もいません。

個人的には、この種のクリプトロッカーが存在するとはほとんど信じていません。暗号化プロセス/実行可能ファイルが削除された場合はどうなりますか？それは、犯罪者のサーバーと通信できないために、すべてのファイルが閉じられるか、開いたままになることを意味しますか？

私たちのネットワークで約4回のcryptolock攻撃を目撃しました。ファイルが暗号化されているため、すべてがすぐに気づきました。暗号化されたディレクトリにあるhelp_decrypt.txtファイルからもわかります。

ご挨拶、

Steffen Ullrich · Answer

それが完了した後、cryptolockersは数週間待機してそれ自体をアクティブ化するため、現在利用可能なバックアップはありません。ユーザーが待機期間中にドキュメントを開こうとすると、cryptolockerはファイルをすばやく復号化するため、暗号化に気付くことはありません。

これはあまり意味がありません。バックアッププロセスもファイルにアクセスしようとするため、バックアップ中にファイルが復号化され、バックアップに元のファイルが含まれます。

誰かが言った...

そのような主張の出所を常に尋ねてください。インターネット上の誰かが何かを言ったからといって、それが正しいとは限りません。

たぶん、これを言った人は誰でも、 Locker：Cryptolocker Progeny Awakens で説明されているように、アクティブ化する前に待機するcryptolockerについて読んだことがあります。しかし、これは長い間沈黙を保ち、しばらくしてからファイルの暗号化を開始することです。アクティベーションを特定の日付まで延期することにより、ランサムウェアは今のところ何も悪いことをしないため、動的分析を回避します。したがって、すべての寝台車が同時にアクティブになる前に、検出されることなく広がる可能性があります。