最近,我的雇主禁止访问Gmail,Yahoo Mail等,因为一名员工下载了包含勒索软件的电子邮件附件,并对其磁盘进行了加密。

问题:勒索软件如何获得root / admin权限来加密磁盘?大概是下载它的人必须在某个时候输入admin / root密码。

评论

可用性与安全性。我的系统使用允许访问的程序白名单限制所有非管理员文件夹(基本上是用户文件夹中的所有文件夹)。这应该会阻止大多数勒索软件,但是会导致可用性问题(必须将程序列入白名单)。大多数用户都会乐意为可用性牺牲一点安全性。

相关:xkcd.com/1200

@AstroDan再次确认我们已经知道的知识:以可用性为代价的安全性以牺牲安全性为代价。

通常它不会加密您的磁盘。它只是对您已经有权访问的所有重要文档进行加密。

这篇文章中包含的信息很少,听起来您的雇主反应过度了。您将gmail和yahoo邮件命名为两种可删除大多数恶意软件的服务。用户似乎更有可能在其他地方感染了该恶意软件,例如使用Outlook检查Yahoo和家庭ISP邮件服务器。谁会打电话给用户,因为证据已经消失了。您的雇主似乎没有使用那台计算机上使用的特定电子邮件程序,而是用很宽的画笔绘画。听起来像是硬件错误:椅子和键盘之间的螺母。

#1 楼

勒索软件不需要root / admin权限,因为它不需要。

它不对磁盘或受操作系统保护的文件(可执行文件,配置,凭据)进行加密,而是对创建的文件进行加密。并由用户存储(数据);这样做所需要的就是与用户本身相同的访问级别。

就像用户将创建一个受密码保护的zip并删除原始文件一样,勒索软件也是如此(除了,它会将密码保密,并确保确实无法访问原始文件。)这就是勒索软件如此成功的全部原因,它加密了对用户和公司最有价值的东西:他们的工作。

评论


我隐约记得或想象它们使用公用/专用密钥对,因此“密码”甚至不存储在用户的计算机上。那是对的吗?

– jpmc26
2016年12月7日在22:56



@ jpmc26但是严格来说,文件加密通常是使用对称加密执行的,然后使用非对称密钥加密密钥。

– techraf
16-12-7在23:13



或者他们只是永久性地破坏了数据,在您支付了勒索费之后,您发现自己不仅被勒索了赎金,而且还诈骗了您的钱。

– jwenting
16 Dec 8'在8:19

@jwenting他们从勒索费中赚了很多钱。如果他们不可靠(听起来很奇怪),他们将切断自己的收入来源。

– techraf
16 Dec 8'在13:18

@jwenting信任的概念非常重要,有些勒索软件黑客甚至提供了一种“客户支持”来帮助人们付款,这听起来很奇怪。 engadget.com/2016/09/09/…

–杰扎蒙
16/12/8在23:38



#2 楼

虽然techraf有正确的答案(它只加密用户空间文件),但我想补充一点,如果它确实想对磁盘的其他部分进行处理,则其处理方式与某些其他恶意软件相同...通过漏洞利用。

恶意软件作者可以发现操作系统设计中的缺陷,这些缺陷使世俗的程序可以到达不应有的位置。缓冲区溢出,IPC缺陷,封装不良以及简单的错误都可能使程序进入不应有的位置。因此,定期修补计算机并保持这些Windows Update为最新很重要。如果反病毒软件所依赖的操作系统存在允许其背后隐藏病毒的漏洞,即使是防病毒软件也无济于事。这就是为什么不再使用Windows XP(以及Windows)很重要的原因明年之后的第7步)...这些缺陷由于发现而不再得到修复。安全附加产品(如防病毒产品)无法帮助防止这些问题,因为它们本身只是操作系统中的来宾进程,而依赖于它运行的低级安全性来完成其工作。

评论


支持,但是我要补充一点,WinXP仍然有一个地方。微软采用了最新版本并添加了所有Service Pack,然后发布了该版本以免费使用。我已经接受了,只加载了我需要的两个程序,并为系统提供了自己的NAT路由器。我永远不会将其用作普通PC。如果没有NAT和像样的防病毒/防火墙,我将不会在野外运行任何计算机-不管使用哪个操作系统,这些计算机都会定期更新。关键是确定设备的尺寸,了解风险/收益之间的权衡。我的WinXP机器是Latitude D610,否则将毫无用处。

– SDsolar
16年10月10日在21:28

免费版本仅许可在虚拟机中使用。如果您在裸机上运行它,则可能违反了该许可证。

–乔尔·科恩(Joel Coehoorn)
16 Dec 10 '21 at 21:48

您没有提供参考,因此我无法进行事实检查。虽然我知道它可以在虚拟机中运行,但我不禁止在旧硬件上运行它。它是带有所有Service Pack的专业版。它肯定对我有帮助,因为那台旧笔记本电脑的尺寸合适,可以接收卫星(带有Flash和更新的Firefox)和ZaraStudio(也免费)。它构成了一个非常不错的小型CSN广播电台(csnradio.com/listen)。对于免费的Windows XP Pro,可从以下位置获取它:softlay.net/operating-system/…

– SDsolar
16 Dec 11'在20:03

#3 楼

并非不是,恶意软件或勒索软件实际上可以正常工作,而无需像普通用户一样获得管理员权限。

除此之外,该恶意软件或勒索软件还使用了已知的漏洞利用方法,例如Shadow Brokers小组泄漏的NSA漏洞利用方法,同样,我们也有一些例子-WannaCry恶意软件让全世界惊讶大量受感染的计算机实际上利用了Eternalblue漏洞,该漏洞利用了Windows SMB中继中的漏洞。现在,勒索软件继续对用户有价值的文件进行加密。

根植或获得管理员特权的一部分

因此,勒索软件更多地主要针对已知漏洞,所以是的,即使我也可以开发可以针对未打补丁的Windows系统的恶意软件,如果我可以希望获得root访问权限以执行更恶意的操作。例如,我的朋友和研究员SandboxEscaper于本周早些时候在Windows中披露了一个alpc LPE错误,我们实际上可以在使用户下载我们开发的可执行文件或恶意软件并执行更多恶意操作后,在恶意软件中实现该漏洞以获得本地特权升级。在系统上。但是,并非总是需要拥有或获得管理员特权。

最重要的是:勒索软件使用特定的已知漏洞,并针对特定的损害级别,还可以通过LPE链接远程漏洞以扩大影响范围,但这并不常见,因为它可以正常加密文件用户权限