Ransomware começaram a aparecer há alguns anos com um MO agora familiar. Um usuário infectado é confrontado por uma mensagem afirmando que seu PC tenha sido de alguma forma utilizado em um ato criminoso ou está em risco de alguma forma. A fim de corrigir o problema imaginário, uma taxa deve ser paga. Este esquema de extorsão às vezes é acompanhada pelo bloqueio para baixo de partes do sistema, mas nunca antes ransomware ido aos extremos de realmente criptografar arquivos e mantê-los como reféns. Não há maneira de recuperar o acesso aos arquivos por simplesmente remover o trojan.
Quando um PC pega o novo trojan , que vai trabalhar pela criação de duas chaves de criptografia com base no ID do PC. Ele também gera uma nova instância ou ctfmon.exe svchost.exe e injeta seu próprio código lá. Isso permite que ele seja executado em segundo plano mais furtivamente. A primeira das chaves de criptografia é usada para criptografar as comunicações com o servidor de comando e controle. A segunda chave é a que causa toda a mágoa.
A segunda chave é codificada pelo primeiro, e enviado para o servidor de comando e controle para a custódia. O servidor, então, determina quais arquivos devem ser trancados. Ele vai atrás de imagens, documentos e alguns executáveis, utilizando a segunda chave para criptografá-los. Neste caso, o aviso assustador que aparece não é fazer ameaças vãs - esses arquivos não estão voltando sem a chave.
O objetivo aqui não é incapacitar um computador, de modo que os arquivos do Windows são deixados intactos. No entanto, o malware faz bloco regedit, gerenciador de tarefas e msconfig. Como o controlador malware tem as chaves de criptografia, ele ou ela pode tecnicamente remover a criptografia de arquivos se a taxa for paga. Isso está longe de ser uma garantia, no entanto.
Comentários