ランサムウェアマルウェアに感染したウィンドウがTrueCryptで既に完全に暗号化されている場合はどうなりますか?

1

ランサムウェア暗号化はTrueCrypt暗号化を上書きできますか?それでは何が起こるでしょう

windows-7  encryption  malware  truecrypt 
マリオ
ソース
FDEを使用してボリュームをマウントしているシステム上のファイルは、マルウェアによって暗号化されたボリューム上のファイルを持つことになります。
ラムハウンド

回答:

5

Truecryptは透過的なOn-The-Fly暗号化であるため、FDEシナリオでは、攻撃者はコンテナー内のプレーンテキストデータを暗号化し、Truecryptは暗号文データに変換します。 truecrypt暗号化を「上書き」することではありません。OSはTruecryptレイヤーを見ることができず、暗号化されたディスクがマウントされたときにTruecryptが公開するプレーンテキストだけを見ることができます。

したがって、実際には、他の誰か(ランサムウェア)が既に一度暗号化した暗号化データを保存することになります。または、ランサムウェアは、コンテナファイルを暗号化することにより、ファイルシステム上のtruecryptボリューム(非FDE)を暗号化する場合があります。ランサムウェアが混乱したファイルを解読すると、Truecryptボリュームは攻撃前の状態に戻ります。

ディスクレベルでランサムウェアからデータを保護する唯一の方法は、ユーザーがそのデータに書き込みできないようにすることです。ユーザーが書き込み可能な場合、攻撃者はファイルを暗号化し、元のファイルを削除できます。

フランク・トーマス
ソース
残念ながら、ランサムウェアには管理者権限さえ必要ないということです(ほとんどの亜種はスタートアッププログラムに自身をインストールするためにまだ必要だと思いますが)。したがって、ランサムウェアは現時点で最も危険な脅威の1つであると考えられます。
TJJ
@TJJ-管理者権限が必要になる唯一の理由は、ネットワークドライブがユーザーに対して読み取り専用である場合です。また、オペレーティングシステムのシャドウボリュームを無効にしたり破損したりする必要があります。シャドウボリュームは、Windowsでファイルの以前のバージョンを復元する機能を制御します。ファイルを暗号化するマルウェアの亜種は、個人ファイル(Word、Excel、.mp3、.mp4、.ect)に関連付けられた特定のファイル拡張子を対象としているため、ユーザーが変更する権限を持つファイルのみを暗号化できます。
ラムハウンド
@ラムハウンド:はい。今日では、壊れたデバイスはもはや大きな問題ではなく、個人データの損失であると誰もが理解していると思う。そのため、もちろんWord、Excel、JPEG、mp3などが危険にさらされています。そして、これはランサムウェアを非常に高価にします。はい、もちろん企業にもダウンタイムがありますが、突然すべてのデータにアクセスできなくなった場合(そしてバックアップがないと仮定した場合)、どうしますか?
TJJ
重要なドキュメントをマルウェアの危険にさらすことはありません
-Ramhound
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.