Ransomware加密打开的文件

Question

我想知道ransomware是否可以加密当前被应用程序打开/锁定的文件？

例如:一些应用程序打开文件并锁定它们以进行操作，例如数据库。所以我假设当系统被ransomware感染，但是数据库文件已经在使用时，在数据库引擎关闭它的所有句柄之前，它是不能被加密的。只有这样，ransomware才能加密数据库文件，并且在其秘密操作期间，当数据库引擎再次使用文件时解密它。对于数据库编辑，我假设当创建新的日志文件时，它会被ransomware加密，而由于ransomware操作的透明性，数据库引擎仍然可以使用它。只有当所需的驱动器百分比被加密时，ransomware才会拒绝文件访问，因此数据库将失去对redologs的访问权限。

我知道一些技术(例如VSS)，它允许并行读取甚至锁定的文件，主要用于备份用例，但这不是为了修改文件内容或元数据。

我的假设是，从上面的例子来看，所有这样的文件都是安全的，除非它们保持文件上的锁，因此如果不是作为脱机备份，数据库备份也应该是安全的。

我的假设是正确的，还是有任何编程技术可以覆盖文件句柄锁定机制？我还没有在网上找到答案，所以我希望在这里找到答案。

编辑:我的问题是平台无关。Windows、MacOS、Linux和其他Unix品牌(例如AIX、Solaris.)都在范围内。

Answer 1

您所说的“隐秘操作”不仅要求ransomware能够修改打开的文件，而且还需要能够修改返回到应用程序的数据流(以便隐藏直到触发陷阱)。

您所谈论的要么是将共享库注入到当前用户拥有的每个正在运行的进程中(该进程只需使用文件的现有打开句柄来访问它)，要么是指rootkit (它在文件系统驱动程序层拦截文件访问)。

如果恶意软件没有执行权限提升，并且当前用户没有对数据库的文件级访问，那么只有客户机/服务器架构通过以更多/不同特权用户的身份运行的系统服务来访问数据库。文件被打开这一事实根本没用。

Answer 2

在Windows上，您不能对其他操作使用的大多数文件(有些文件设计为多个操作同时使用)做任何事情。一些赎金不断扫描未加密的文件，但大多数并不在乎。