ImageGate, ένα νέο ransomware το οποίο εξαπλώνεται μέσω αρχείων εικόνας

[biggeo65]

Ποιοι ειναι αυτοι οι αλλοι τροποι;
Και τι ειδους συνεχομενες ενοχλησεις εχεις. Ολα σου τα προγραμματα admin θελουν;

Σχεδόν όλα θέλουν Admin γιατί έτσι τα έχω ρυθμίσει. Δεν τρέχει σχεδόν τίποτα χωρίς Admin rights.
Xώρια που στις εγκαταστάσεις γινόταν δυο φορές πιο εκνευριστικό.

Έχω βάλει όλα τγα προγράμματα στην white list του Comodo Defender+
Kάνει την ίδια δουλεια με το UAC κι έχει κι επιπλέον λειτουργίες,χωρίς συχνά popups.

Κι αν κάποια εφαρμογή είναι άγνωστη και για κάποιο λόγο τρέξει,
για πρώτη φορά τρέχει σε εικονοκό περιβάλλον (sandbox).

Έλεγχο των κλειδιών της registry με το Winpatrol και το Comodo.
Aν το malware δεν γράψει στο μητρώο δεν εκτελείται.

Ενεργό antivirus κι antimalware. Αυτά χρησημοποιώ για προστασία.

- - - Updated - - -

Επισης κατι που μου περασε απο το μυαλο τωρα. Πως κρυπτογραφει το ransomware τον υπολογιστη σου? Οταν δινεις εντολη να κρυπτογραφηθει ας πουμε ολοκληρος σκληρος δισκος , ποσο δυσκολο ειναι να πιασει το οποιοδηποτε antivirus την οποιαδηποτε variant?

Μαλλον θελει ειδικες γνωσεις αυτη η απαντηση , πανω στο πως δουλευουν αυτα τα πραγματα ... τεσπα.

Ακόμη και να το πιάσει το antivirus δεν μπορεί να το σταματήσει. Δεν καταστρέφει αρχεία.
Τα κρυπτογραφεί στο παρασκήνιο μέσω γραμμής εντολών με δικαιώματα admin.

To antivirus δεν είναι ρυθμισμένο να σταματά την κρυπτογράφηση.
Η κρυπτογράφηση αρχείων δεν θεωρείται malware.
Ειδικά όταν αυτή την εντολή την δίνει ο χρήστης.

- - - Updated - - -

ο ιός μολύνει μόνο windows?

Έχει κατάληξη .exe ο συγκεκριμένος ,οπότε μόνο windows

[zaranero]

To antivirus δεν είναι ρυθμισμένο να σταματά την κρυπτογράφηση.
Η κρυπτογράφηση αρχείων δεν θεωρείται malware.
Ειδικά όταν αυτή την εντολή την δίνει ο χρήστης.

Ναι το καταλαβαινω αλλα αν πεις για παραδειγμα στο λειτουργικο , δεν θα σου δωσω ποτε εντολη να κρυπτογραφησεις εξωτερικους σκληρους δισκους ουτε το σκληρο δισκο του υπολογιστη ,με καποια δικλειδα ασφαλειας που δεν μπορει να σπασει?

ή τουλαχιστον να εχεις πολλαπλες προειδοποιησεις εαν κατι τετοιο παει να γινει?

Βασικα καταλαβαινω οτι εαν υπηρχε μαγικη συνταγη θα ειχε ηδη εφαρμοστει , απο περιεργεια ρωταω.

- - - Updated - - -

Μοιαζει σαν το αυγο εκανε την κοτα ή η κοτα εκανε το αυγο. Εσυ εισαι ο χρηστης. Αν το προγραμμα μιμειται το χρηστη κλπ κλπ . αλλα και παλι περιεργο μου φαινεται.

- - - Updated - - -

Ισως το λειτουργικο χρησιμοποιει την κρυπτογραφηση εσωτερικα για παρα πολλες λειτουργιες του , οποτε μαλλον ειναι πιο ευκολο να ξεγελαστει?

[cranky]

... αλλα αν πεις για παραδειγμα στο λειτουργικο , δεν θα σου δωσω ποτε εντολη να κρυπτογραφησεις εξωτερικους σκληρους δισκους ουτε το σκληρο δισκο του υπολογιστη ,με καποια δικλειδα ασφαλειας που δεν μπορει να σπασει?

Ισως το λειτουργικο χρησιμοποιει την κρυπτογραφηση εσωτερικα για παρα πολλες λειτουργιες του , οποτε μαλλον ειναι πιο ευκολο να ξεγελαστει?

Τους εξωτερικούς δίσκους μπορείς να τους συνδέεις μόνο όταν τους χρειάζεσαι.
Τους εσωτερικούς (που έχεις το backup), μπορείς να τους έχεις ανενεργούς, και να τους ενεργοποιείς μόνο όταν είναι να ενημερώσεις το backup σου.

[biggeo65]

Ναι το καταλαβαινω αλλα αν πεις για παραδειγμα στο λειτουργικο , δεν θα σου δωσω ποτε εντολη να κρυπτογραφησεις εξωτερικους σκληρους δισκους ουτε το σκληρο δισκο του υπολογιστη ,με καποια δικλειδα ασφαλειας που δεν μπορει να σπασει?

ή τουλαχιστον να εχεις πολλαπλες προειδοποιησεις εαν κατι τετοιο παει να γινει?

Βασικα καταλαβαινω οτι εαν υπηρχε μαγικη συνταγη θα ειχε ηδη εφαρμοστει , απο περιεργεια ρωταω.

Kανονικά αν έκανες την κρυπτογράφηση εσύ π.χ. με το bitlocker που έχουν τα Windows
περνάς από πολλά σταδια και ρυθμίσεις πριν γίνει η κρυπτογράφηση σε επίπεδο δίσκου.

Αλλά το ransomware τρέχει σε επίπεδο αρχείων,κάνει την ίδια δουλειά που κάνει το AXcrypt π.χ.
Απλά τρέχει ένα script με την εντολή και τις καταλήξεις αρχείων για κρυπτογράφηση.

Από την στιγμή που θα πατήσει o χρήστης να εκτελεστεί το script,
το antivirus δεν έχει κάποιο λόγο για να το σταματήσει.

Ακόμη κι αν είναι ενημερωμένο το antivirus,ακόμη κι αν ανακαλύψει το malware
και το διαγράψει,η διαδικασία κρυπτογράφησης δεν αναιρείται.

[sdikr]

Ναι το καταλαβαινω αλλα αν πεις για παραδειγμα στο λειτουργικο , δεν θα σου δωσω ποτε εντολη να κρυπτογραφησεις εξωτερικους σκληρους δισκους ουτε το σκληρο δισκο του υπολογιστη ,με καποια δικλειδα ασφαλειας που δεν μπορει να σπασει?

ή τουλαχιστον να εχεις πολλαπλες προειδοποιησεις εαν κατι τετοιο παει να γινει?

Βασικα καταλαβαινω οτι εαν υπηρχε μαγικη συνταγη θα ειχε ηδη εφαρμοστει , απο περιεργεια ρωταω.

- - - Updated - - -

Μοιαζει σαν το αυγο εκανε την κοτα ή η κοτα εκανε το αυγο. Εσυ εισαι ο χρηστης. Αν το προγραμμα μιμειται το χρηστη κλπ κλπ . αλλα και παλι περιεργο μου φαινεται.

- - - Updated - - -

Ισως το λειτουργικο χρησιμοποιει την κρυπτογραφηση εσωτερικα για παρα πολλες λειτουργιες του , οποτε μαλλον ειναι πιο ευκολο να ξεγελαστει?

Αν θα δεις, εκτός απο κάποια λειτουργικά που υποστηρίζουν κρυπτογράφηση, υπάρχουν και δεκάδες Legit προγράμματα που κάνουν το ίδιο, ο κάθε ενας και λίγο διαφορετικά.
Είναι λίγο δύσκολο να σταματήσεις μια legit λειτουργία, είναι σαν να λες θα σταματήσω τις αντιγραφές ή το download.

Οπότε θέλει προσοχή απο τον χρήστη, ενημερωμένο λειτουργικό - προγράμματα, κατά προτίμηση όχι admin rights στον υπολογιστή και Backup.
Η μόνη ριζική λύση είναι να μην έχεις υπολογιστή

[zaranero]

Αν θα δεις, εκτός απο κάποια λειτουργικά που υποστηρίζουν κρυπτογράφηση, υπάρχουν και δεκάδες Legit προγράμματα που κάνουν το ίδιο, ο κάθε ενας και λίγο διαφορετικά.
Είναι λίγο δύσκολο να σταματήσεις μια legit λειτουργία, είναι σαν να λες θα σταματήσω τις αντιγραφές ή το download.

Οπότε θέλει προσοχή απο τον χρήστη, ενημερωμένο λειτουργικό - προγράμματα, κατά προτίμηση όχι admin rights στον υπολογιστή και Backup.
Η μόνη ριζική λύση είναι να μην έχεις υπολογιστή

Χαχαχα ειχα διαβασει ενα ωραιο μετα απο μια καλυψη συνεδριου black Hat , οτι ο δημοσιογραφος θα καψει τις πιστωτικες του καρτες και θα παει να ζησει σε ενα ερημονησι κλεισμενος σε ενα κλουβι Faraday (ή καπως ετσι:P)

Many malware threats need full access to your PC to run properly. Windows 10, Windows 8.1, Windows 7, and Windows Vista use User Account Control to limit what a program can do without your permission.

This means you will be notified if any software or application tries to make any changes to your system. It can also help stop malware and unwanted software from installing themselves or changing the way your PC works.

Βασικα ειναι το UAC που σε προφυλασσει , εκανα ενα search και κατεληξα παλι στα ...ιδια :P

- - - Updated - - -

Kανονικά αν έκανες την κρυπτογράφηση εσύ π.χ. με το bitlocker που έχουν τα Windows
περνάς από πολλά σταδια και ρυθμίσεις πριν γίνει η κρυπτογράφηση σε επίπεδο δίσκου.

Αλλά το ransomware τρέχει σε επίπεδο αρχείων,κάνει την ίδια δουλειά που κάνει το AXcrypt π.χ.
Απλά τρέχει ένα script με την εντολή και τις καταλήξεις αρχείων για κρυπτογράφηση.

Από την στιγμή που θα πατήσει o χρήστης να εκτελεστεί το script,
το antivirus δεν έχει κάποιο λόγο για να το σταματήσει.

Ακόμη κι αν είναι ενημερωμένο το antivirus,ακόμη κι αν ανακαλύψει το malware
και το διαγράψει,η διαδικασία κρυπτογράφησης δεν αναιρείται.

Τρομακτικο ναι, εχεις δικιο ...

[sdikr]

Χαχαχα ειχα διαβασει ενα ωραιο μετα απο μια καλυψη συνεδριου black Hat , οτι ο δημοσιογραφος θα καψει τις πιστωτικες του καρτες και θα παει να ζησει σε ενα ερημονησι κλεισμενος σε ενα κλουβι Faraday (ή καπως ετσι:P)



Βασικα ειναι το UAC που σε προφυλασσει , εκανα ενα search και κατεληξα παλι στα ...ιδια :P

Το UAC μονο του δεν θα σου προφυλάξει τα αρχεία σου, αυτά δηλαδή που έχεις στα έγραφα σου και στην επιφάνεια εργασίας, όπως ακόμα το uac κακά τα ψέματα μπορεί αύριο να βρεθεί κάποια τρύπα και να περάσει το malware.

[zaranero]

Το UAC μονο του δεν θα σου προφυλάξει τα αρχεία σου, αυτά δηλαδή που έχεις στα έγραφα σου και στην επιφάνεια εργασίας, όπως ακόμα το uac κακά τα ψέματα μπορεί αύριο να βρεθεί κάποια τρύπα και να περάσει το malware.

Παντως ακομα μου φαινεται λιγο περιεργο. Ειτε υπαρχουν 10 ειτε 20 ειτε 30 προγραμματα κρυπτογραφησης , να μην "καταλαβαινει" ο υπολογιστης ωστε να σε προειδοποιησει καταλληλως .... hey Mr εισαι σιγουρος για την ταδε κρυπτογραφηση?

Σε εναν ιδανικο κοσμο ... αλλα κοντευω να εκτροχιασω το νημα οποτε μαλλον σταματαω Ευχαριστω.

- - - Updated - - -

Εδω που τα λεμε μπορει να ειναι και χιλιαδες , δεν ειναι μαλλον τοσο απλα. Μεχρι και εγω σε μια εργασια C++ ειχα φτιαξει ενα απλο προγραμματακι κρυπτογραφησης ...παιδικο βεβαια τεσπα.

Ας περιμενουμε μαλλον την AI να μας λυσει ολα τα προβληματα ... (ή να προσθεσει καινουρια)

[turboirc]

Παιδια καλο ειναι να μην κανετε υποθεσεις στο πως δουλευουν εσωτερικα τα Windows χωρις να εχετε ιδεα για το τι μιλατε. Διαβαζω απιστευτα πραγματα και το χειροτερο παραπληροφορειτε τον κοσμο.

Ουτε κρυπτογραφηση μεσω command line γινεται (ελεος, τα windows δεν ειναι linux που ολα τα γραφικα ειναι γλαστρες ) ουτε φυσικα δεν ειναι ανιχνευσιμη. Ειναι και παρα ειναι.

Ειναι η ανιχνευση μια σειρα κλησεων στο crypt32.dll και συγκεκριμενα των CryptAquireContext, CryptGenKey κλπ και δεν ειναι απλη υποθεση. Η διαδικασια η προγραμματιστικη σε C++περιγραφετα εδω:


https://msdn.microsoft.com/en-us/lib...(v=vs.85).aspx

και οχι μονο ειναι ανιχνευσιμη,αλλα ειναι πιο ευκολα ανιχνευσιμη απο την απλη διαγραφη ενος αρχειου.

Η δυσκολια στο AV ειναι να εκτιμησει η συγκεκριμενη api call ειναι legit η οχι.

- - - Updated - - -

Παντως ακομα μου φαινεται λιγο περιεργο. Ειτε υπαρχουν 10 ειτε 20 ειτε 30 προγραμματα κρυπτογραφησης , να μην "καταλαβαινει" ο υπολογιστης ωστε να σε προειδοποιησει καταλληλως .... hey Mr εισαι σιγουρος για την ταδε κρυπτογραφηση?

Σε εναν ιδανικο κοσμο ... αλλα κοντευω να εκτροχιασω το νημα οποτε μαλλον σταματαω Ευχαριστω.

- - - Updated - - -

Εδω που τα λεμε μπορει να ειναι και χιλιαδες , δεν ειναι μαλλον τοσο απλα. Μεχρι και εγω σε μια εργασια C++ ειχα φτιαξει ενα απλο προγραμματακι κρυπτογραφησης ...παιδικο βεβαια τεσπα.

Ας περιμενουμε μαλλον την AI να μας λυσει ολα τα προβληματα ... (ή να προσθεσει καινουρια)

Χωρις παρεξηγηση μαλλον στην εργασια που εκανες δεν καταλαβες τιποτα (και γενικοτερα αφου μιλας για ΑΙ και για κατανοηση και προειδοποιηση απο τον υπολογιστη κατι παει στραβα). Η διαδικασια κρυπτογραφησης δεν ειναι απλη,εμπεριεχει τεχνικες γνωσεις που ειναι αδυνατο να ξερει καποιος που λεει οτι το εκανε σε απλη παιδικη C++ μια που η συγκεκριμενη γλωσσα δεν εχει σχετικες βιβλιοθηκες αλλα και να ειχε δεν ειναι καθολου απλες). Εκτος αν καλεσες απλα καποιο command line openssl.

- - - Updated - - -

Το UAC μονο του δεν θα σου προφυλάξει τα αρχεία σου, αυτά δηλαδή που έχεις στα έγραφα σου και στην επιφάνεια εργασίας, όπως ακόμα το uac κακά τα ψέματα μπορεί αύριο να βρεθεί κάποια τρύπα και να περάσει το malware.

Οπως ειπαμε και πριν δεν εχει απολυτως καμια σχεση το UAC που σε προειδοποιει μονο για το αν θες admin rights και αυτο εχει να κανει μονο με το που θες να εχεις προσβαση, οχι για το αν μπορεις να κρυπτογραφησεις η οχι που λανθασμενα ειπωθηκε.

Για την ακριβεια με τοσα που εχουν ειπωθει εδω μεσα αρχιζω να αμφιβαλλω αν εχετε καταλαβει το τι ρολο βαραει το uac.

- - - Updated - - -

Σχεδόν όλα θέλουν Admin γιατί έτσι τα έχω ρυθμίσει. Δεν τρέχει σχεδόν τίποτα χωρίς Admin rights.
Xώρια που στις εγκαταστάσεις γινόταν δυο φορές πιο εκνευριστικό.

Έχω βάλει όλα τγα προγράμματα στην white list του Comodo Defender+
Kάνει την ίδια δουλεια με το UAC κι έχει κι επιπλέον λειτουργίες,χωρίς συχνά popups.

Κι αν κάποια εφαρμογή είναι άγνωστη και για κάποιο λόγο τρέξει,
για πρώτη φορά τρέχει σε εικονοκό περιβάλλον (sandbox).

Έλεγχο των κλειδιών της registry με το Winpatrol και το Comodo.
Aν το malware δεν γράψει στο μητρώο δεν εκτελείται.

Ενεργό antivirus κι antimalware. Αυτά χρησημοποιώ για προστασία.

- - - Updated - - -



Ακόμη και να το πιάσει το antivirus δεν μπορεί να το σταματήσει. Δεν καταστρέφει αρχεία.
Τα κρυπτογραφεί στο παρασκήνιο μέσω γραμμής εντολών με δικαιώματα admin.

To antivirus δεν είναι ρυθμισμένο να σταματά την κρυπτογράφηση.
Η κρυπτογράφηση αρχείων δεν θεωρείται malware.
Ειδικά όταν αυτή την εντολή την δίνει ο χρήστης.

- - - Updated - - -



Έχει κατάληξη .exe ο συγκεκριμένος ,οπότε μόνο windows

Φιλε μου συγγνωμη αλλα δεν εχεις ιδεα για το τι μιλας. Καλο ειναι να μην παραπληροφορουμε τον κοσμο. Στα windows ουτε ολα θελουν admin οπως στραβα τα εχεις ρυθμισει, ουτε καλουνται στο παρασκηνιο command line tools. Και αυτο που κανει το UAC δεν εχει καμια σχεση με αυτο που νομιζεις. Και φυσικα ολες τις εντολες τις δινει ο χρηστης, διοτι καθε προγραμμα στον υπολογιστη τρεχει με τα δικαιωματα του χρηστη που το τρεχει.

Και οπως ειπα και πιο πανω η κρυπτογραφηση φυσικα και ανιχνευεται.

[sdikr]

Παιδια καλο ειναι να μην κανετε υποθεσεις στο πως δουλευουν εσωτερικα τα Windows χωρις να εχετε ιδεα για το τι μιλατε. Διαβαζω απιστευτα πραγματα και το χειροτερο παραπληροφορειτε τον κοσμο.

Ουτε κρυπτογραφηση μεσω command line γινεται (ελεος, τα windows δεν ειναι linux που ολα τα γραφικα ειναι γλαστρες ) ουτε φυσικα δεν ειναι ανιχνευσιμη. Ειναι και παρα ειναι.

Ειναι η ανιχνευση μια σειρα κλησεων στο crypt32.dll και συγκεκριμενα των CryptAquireContext, CryptGenKey κλπ και δεν ειναι απλη υποθεση. Η διαδικασια η προγραμματιστικη σε C++περιγραφετα εδω:


https://msdn.microsoft.com/en-us/lib...(v=vs.85).aspx

και οχι μονο ειναι ανιχνευσιμη,αλλα ειναι πιο ευκολα ανιχνευσιμη απο την απλη διαγραφη ενος αρχειου.

Η δυσκολια στο AV ειναι να εκτιμησει η συγκεκριμενη api call ειναι legit η οχι.

έχεις κάποιο link που να λέει οτι τα διάφορα ransomware κάνουν χρήση της crypt32.dll μόνο;

[turboirc]

έχεις κάποιο link που να λέει οτι τα διάφορα ransomware κάνουν χρήση της crypt32.dll μόνο;

Εκτός αν α) χρησιμοποιήσεις OpenSSL ή β) υλοποιήσεις μόνος σου τις συναρτήσεις κρυπτογράφησης (πράγμα απίθανο), δεν υπάρχει άλλος τρόπος.

Σε όλες τις περιπτώσεις πρέπει να πας να γράψεις στο αρχείο το οποίο είναι ανιχνεύσιμο. Όταν το Antivirus βλέπει ότι τα δεδομένα του αρχείου αντικαθίστανται με άλλα πολύ διαφορετικότερα τότε μπορεί να συμπεράνει το τι συμβαίνει. Ναι είναι δύσκολο, αλλά όχι αδύνατο.

[biggeo65]

Φιλε μου συγγνωμη αλλα δεν εχεις ιδεα για το τι μιλας. Καλο ειναι να μην παραπληροφορουμε τον κοσμο. Στα windows ουτε ολα θελουν admin οπως στραβα τα εχεις ρυθμισει, ουτε καλουνται στο παρασκηνιο command line tools. Και αυτο που κανει το UAC δεν εχει καμια σχεση με αυτο που νομιζεις. Και φυσικα ολες τις εντολες τις δινει ο χρηστης, διοτι καθε προγραμμα στον υπολογιστη τρεχει με τα δικαιωματα του χρηστη που το τρεχει.

Και οπως ειπα και πιο πανω η κρυπτογραφηση φυσικα και ανιχνευεται.

Πες μου που κάνω λάθος με λινκ και παραδείγματα,όχι με αερολογίες.

Θέλεις να σου στείλω καμια δεκαριά αρχεία που τρέχουν command line στο παρασκήνιο;
Αν θέλεις μπορώ να βρώ και να σου στείλω. Εσύ θα τα ανοίξεις;

Έξι χρόνια στο forum ποτε δεν έχω γράψει κάτι χωρις να το έχω δοκιμάσει πριν.

Και το UAC κάνει ακριβώς αυτό που νομίζω,δώσε μου λινκ ότι κάνει κάτι διαφορετικό.

Και ναι όλες οι εφαρμογές που εγκαθιστώ εγώ τις έχω να τρέχουν με δικαιώματα admin,
γιατί έτσι μου αρέσει και γιατί δεν γουστάρω ο πιτσιρικάς ο ανηψιός μου που θα μπει σαν Guest,
να ανακατεύεται με τις δικές μου εφαρμογές. Θα τρέξει μόνο ότι θέλω εγώ να τρέξει.

Αν ανιχνευόταν η κρυπτογράφηση και μπορούσε να σταματήσει, δεν θα υπήρχαν χιλιάδες θύματα.

Άλλες φορές καλό είναι πριν μιλήσεις κι επιτεθείς σε κάποιυς ΝΑ ΕΝΗΜΕΡΏΝΕΣΑΙ ΠΡΩΤΑ.

Ξεκίνα με απλά βήματα, μάθε
τι είναι και τι κάνουν τα Windows,
τι είναι και τι κάνει το UAC,
τι είναι Ransomware,και τρόπους εκτέλεσης του,

Κι όταν ε΄ισαι βέβαιος ότι τα κατάλαβες το ξανασυζητάμε το θέμα.
Η προσφορά πάντως ισχύει. Αν θέλεις για πειραματισμό μπορώ να βρω να σου στείλω κάποια αρχεία.

[sdikr]

Εκτός αν α) χρησιμοποιήσεις OpenSSL ή β) υλοποιήσεις μόνος σου τις συναρτήσεις κρυπτογράφησης (πράγμα απίθανο), δεν υπάρχει άλλος τρόπος.

Σε όλες τις περιπτώσεις πρέπει να πας να γράψεις στο αρχείο το οποίο είναι ανιχνεύσιμο.

Κάτι το όποιο κάποια variants κάνουν πράξη, άλλα κάνουν χρήση του powershell
Δεν γράφει στο αρχείο, κάνει ενα νέο αρχείο και μετά διαγραφεί το παλιότερο.


Αλλά πραγματικά γιατί είσαι τόσο απόλυτος στο προηγούμενο μήνυμα αφού και εσύ ο ίδιος λες οτι υπάρχουν άλλες λύσεις εκτος του crypt32.dll.

Μην ξεχνάμε οτι τα ransomware είναι μια πολύ επικερδή απασχόληση

[biggeo65]

Εκτός αν α) χρησιμοποιήσεις OpenSSL ή β) υλοποιήσεις μόνος σου τις συναρτήσεις κρυπτογράφησης (πράγμα απίθανο), δεν υπάρχει άλλος τρόπος.

Σε όλες τις περιπτώσεις πρέπει να πας να γράψεις στο αρχείο το οποίο είναι ανιχνεύσιμο. Όταν το Antivirus βλέπει ότι τα δεδομένα του αρχείου αντικαθίστανται με άλλα πολύ διαφορετικότερα τότε μπορεί να συμπεράνει το τι συμβαίνει. Ναι είναι δύσκολο, αλλά όχι αδύνατο.

Μπέρδεψες τις βούρτσες με τις οδοντόβουρτσες.

Καμιά σχέση το OpenSSL με το file/folder encryption

Το μόνο που έχουν κοινό είναι ότι κάνουν χρήση κάποιοων κοινών πρωτοκόλων όπως SSL και ΤLS.
Aλλά το file/folder encryption προχωρά και παραπέρα με την χρήση κλειδιών

Βλέπεις εγώ βάζω και λινκ. Κι από την στιγμή που θα δώσει ο χρήστης την εντολή για κρυπτογράφηση,
ποιόν λόγο έχει το antivirus να διακόψει την λειτουργία κρυπτογράφησης;

[turboirc]

Πες μου που κάνω λάθος με λινκ και παραδείγματα,όχι με αερολογίες.
Και ναι όλες οι εφαρμογές που εγκαθιστώ εγώ τις έχω να τρέχουν με δικαιώματα admin,
γιατί έτσι μου αρέσει και γιατί δεν γουστάρω ο πιτσιρικάς ο ανηψιός μου που θα μπει σαν Guest,
να ανακατεύεται με τις δικές μου εφαρμογές. Θα τρέξει μόνο ότι θέλω εγώ να τρέξει.

Σιγά μην κάτσω να αναλύσω όλη την κρυπτογραφία των Windows, δωρεάν εργασία δεν κάνω.
Εξάλλου το γεγονός ότι λες ότι αφού το δίνει εντολή ο χρήστης το AV δεν έχει λόγο να το διακόψει δείχνει ότι δεν έχεις επαφή με την πραγματικότητα.
Αν θες σου κάνω ιδιαίτερα (ακριβά).
Καλή συνέχεια.

- - - Updated - - -

Κάτι το όποιο κάποια variants κάνουν πράξη, άλλα κάνουν χρήση του powershell
Δεν γράφει στο αρχείο, κάνει ενα νέο αρχείο και μετά διαγραφεί το παλιότερο.


Αλλά πραγματικά γιατί είσαι τόσο απόλυτος στο προηγούμενο μήνυμα αφού και εσύ ο ίδιος λες οτι υπάρχουν άλλες λύσεις εκτος του crypt32.dll.

Μην ξεχνάμε οτι τα ransomware είναι μια πολύ επικερδή απασχόληση

Αυτό που υποστηρίζω απλά είναι ότι η οποιαδήποτε τεχνική είναι ανιχνεύσιμη. Διότι στην τελική δεν διαφέρει σε τίποτα απο τεχνικές που "κολλανε ιό" σε ένα εκτελέσιμο.
Αν ένα antivirus μπορεί να βρει ιό σε ένα αρχείο, μπορεί να βρει και κρυπτογράφηση.
Το να κάτσει ενα ransomware να υλοποιήσει κρυπτογράφηση που δεν χρησιμοποιεί το crypt32 νομίζω ότι είναι ανωφελο με την σημερινή ποιότητα των Antivirus.