Ransomware如何加密文件？

Question

我有个关于洗劫工具是如何工作的问题。

根据本文作者：https://www.cise.ufl.edu/~traynor/papers/scaife-icdcs16.pdf (第2-3页)，C类是: ransomware读取原始文件，然后创建一个包含加密内容的新的独立文件，并删除或覆盖(通过移动)原始文件。这个类使用两个独立的访问流来读取和写入数据。

有人能再解释一下吗？因为我想知道的是: ransomware打开原始文件，然后创建一个新的独立文件(到目前为止还不错)，然后将未加密的内容从原始文件复制到新文件(？)，加密它(所以它加密了新文件的内容)并覆盖或删除原始文件？

还是对原始文件的内容进行加密，将加密的内容复制到新文件中，然后删除原始文件？

它看起来非常类似于这个文件的场景3(第6页)：https://www.usenix.org/system/files/conference/usenixsecurity16/sec16_纸_kharraz.pdf

还有一个更普遍的问题:不打开文件就可以加密文件吗？那么，不创建IRP_Read或IRP_Create呢？

非常感谢。

Answer 1

第一份文件说：

删除或覆盖(通过移动)原始文件

“删除”-这是明确的，方案2在第二份文件。

“覆盖(通过移动)”-这在第二篇论文中没有描述。

“覆盖(通过移动)”取决于文件系统：

• 如果两个文件都位于相同的存储卷中，那么许多文件系统只是将指针分配到新文件的内容。这种情况在第二篇论文中没有描述。
• 如果文件位于不同的存储卷上，那么这样的优化是不可能的。通常源文件是从一个卷读取，写入目标卷上的临时文件。第二份文件没有说明这一点。然后，临时文件与目标文件位于同一个卷上，指针从旧的变为新的，就像在第一种情况下一样。第二份文件没有说明这一点。

不打开文件就可以加密它吗？

不是的。加密是一个数据转换的过程:根据所选的算法读取数据并应用一些转换。如果不读取数据，就没有什么可转换的。