web-dev-qa-db-fra.com

Wanna Cryer Crypter des fichiers sur des lecteurs de réseau?

J'ai traité des menaces ransomware dans le passé, telles que [~ # ~ # ~] [~ # ~] qui non seulement chiffrer les données qu'il considère les documents d'utilisateur trouvés sur la machine locale, mais aussi sur tout lecteur réseau auquel l'utilisateur dispose des autorisations suffisantes pour modifier les données.

Est-ce que l'une des variantes veuillez pleurer des variantes énumérer et crypter des données sur:

  1. Des lecteurs de réseau mappés?
  2. Les actions réseau qui sont non Actuellement connecté via un lecteur mappé?

J'ai googlé ma question mais pas trouvé une réponse directe.

Remarque: Je ne demande pas comment la menace qui veut pleurer infecte Autres nœuds via le EternalBlue SMB Exploit.

file-encryptionransomwarewannacry
2
I say Reinstate Monica

La réponse courte est "c'est possible".

Il est important de comprendre les circonstances où cela est possible:

1: Si vos lecteurs de réseau partagés existent sur un serveur vulnérable et que le serveur lui-même est infecté

2: Si le contexte utilisateur dans lequel l'infection est en cours d'exécution a une connexion établie à une ressource réseau, est authentifiée au moment de l'infection et la permission de la modifier. À titre d'exemple, un cryptomalware exécutant dans le contexte du "système" -Unship exploitant une vulnérabilité - ne devrait pas être en mesure de modifier une part de réseau nécessitant une authentification, à condition qu'un autre utilisateur avec des autorisations d'écriture n'est pas déjà activement authentifié.

3: Si des produitsHares sont mal appliqués. À titre d'exemple, une méthode très antimisée et dangereuse que j'ai vue dans une utilisation généralisée lance un script dans le dossier de démarrage d'un ordinateur qui se connecte et s'authentifie à un fichier FileShare. En tant que capital, sous Windows (et surtout ailleurs), les tâches automatisées ne doivent se produire que dans le contexte d'une session authentifiée et ne doivent jamais être initiées par un script contenant des informations d'identification codées.

Une bonne règle visant à considérer quand on pense à cryptomalware ou vraiment tout logiciel malveillant: si une machine ou une session donnée est d'indexer des fichiers pour une recherche rapide sur une ressource, il existe à tout moins un risque de divulgation ou de destruction par une menace à laquelle machine ou session.

1
MildotPhil