web-dev-qa-db-fra.com

Attaques de rançon - puis-je me protéger en chiffrant tous mes fichiers?

Si je crypte tous mes fichiers, puis-je être "attaqué" par des attaques de rançon?

Parce que mes fichiers sont déjà cryptés, ils ne peuvent pas y accéder, donc je devrais être en sécurité ou je me trompe?

De plus, si quelqu'un pouvait me dire comment fonctionne ce cryptage, je serais vraiment reconnaissant.

J'ai déjà lu quelques articles sur Wikipedia et il y est indiqué que le cryptage ne fonctionne pas lors du démarrage (dans l'article anglais, il s'appelle Cold-Boot-Attack), serait-il donc possible d'avoir accès aux fichiers lors du démarrage? Pas que j'en ai besoin maintenant, mais on ne sait jamais.

8
PixelStudio

TLDR: tout cryptage de fichier ne vous protège pas contre les attaques de rançon.


Nous pouvons considérer deux scénarios:

  1. Vous cryptez vos fichiers avec certains outils (par exemple Zip crypté),
  2. Vous avez crypté toute la partition (Truecrypt, dm-crypt etc.).

Dans le premier cas, même si vous avez crypté vos fichiers, ils peuvent être à nouveau cryptés par un ransomware. Et vous ne pourrez plus les décrypter. Mauvaise situation.

Dans le second cas, le ransomware vit dans le runtime de l'ordinateur (pendant que vous l'utilisez), il a donc un accès aux fichiers décryptés sur votre ordinateur. La partition de disque est déchiffrée au démarrage et chiffrée à nouveau lorsque vous arrêtez votre ordinateur. Encore une fois, mauvaise situation.

Un cryptage de fichier ne vous protège pas contre les ransomwares.

Cold boot attack est une histoire un peu différente et vous ne devriez pas la considérer ici pour ne pas vous confondre.

J'ai essayé de l'expliquer de manière simple, j'espère avoir aidé d'une manière ou d'une autre :)


Pour vous protéger contre les ransomwares , vous pouvez (devriez!) Faire au moins ces trois choses:

  1. Ne visitez pas de sites malveillants.
  2. Sauvegardez des éléments importants (sur un lecteur séparé et débranché) :)
  3. Vous pouvez également installer des antivirus, EMET, etc. La probabilité d'être attaqué avec succès par une rançon diminuera à coup sûr.
32
boleslaw.smialy

Une simple analogie non technique sous la forme d'un plan en quatre étapes ...

  1. Vous avez de l'argent que vous ne voulez pas voler.
  2. Vous mettez cet argent dans un coffre-fort pour que les autres ne puissent pas y accéder.
  3. Nefarious Evil Doer veut aussi vous empêcher d'obtenir cet argent.
  4. Nefarious Evil Doer enferme votre coffre-fort dans un coffre-fort plus grand dont vous ne connaissez pas la combinaison.

Maintenant, aucun de vous ne peut gagner de l'argent. Ils sont hors du coût d'un coffre-fort, vous êtes hors du coût de tout ce qui était dans votre coffre-fort. Avec Ransomware, leur coffre-fort est fondamentalement gratuit.

Rappelez-vous, vous ne vous défendez pas contre eux en volant vos données, vous vous défendez contre eux en les rendant plus sûr en les chiffrant.

14
Kaithar

Les attaques de ransomwares fonctionnent en chiffrant vos fichiers afin que vous n'y ayez plus accès. Cela fonctionne indépendamment du fait que vos fichiers soient chiffrés ou non, car le ransomware traite vos fichiers comme des blobs opaques.

Si vous êtes chanceux et que votre ransomware vérifie le type de fichier file(1) comme le fichier à crypter (certains ransomwares ne cryptent que les données qu'il juge importantes pour vous, comme les images), vous pourriez obtenir un moyen.

La seule façon de prévenir les dommages causés par les attaques de ransomwares consiste à effectuer des sauvegardes vérifiées.

8
user10008

Si je crypte tous mes fichiers, puis-je être "attaqué" par des attaques de rançon?

Oui. Ils rechiffreront quand même vos données et espéreront que vous n'avez pas de sauvegarde "hors ligne".

Parce qu'ils sont déjà cryptés, ils ne peuvent pas y accéder, donc je devrais être sauvegardé ou je pense mal?

Vous êtes à l'abri du fait qu'ils ne pourront pas accéder à vos informations, mais vous êtes quand même troublé si vous n'avez pas de sauvegarde.

De plus, si quelqu'un pouvait me dire comment fonctionne ce cryptage, je serais vraiment reconnaissant.

Jetez un oeil à cet article très facile à comprendre et bien écrit - Comment fonctionne le cryptage et est-il vraiment sûr?

J'ai déjà lu quelques articles sur Wikipédia et je pense que le cryptage ne fonctionne pas lors du démarrage (dans l'article anglais, il s'appelle Cold-Boot-Attack), serait-il possible d'avoir accès aux fichiers lors du démarrage? Pas que j'en ai besoin maintenant, mais on ne sait jamais.

Vous avez raison, sauf si le système en tant que système d'authentification de pré-démarrage est intégré.

L'authentification de pré-démarrage (PBA) ou l'authentification au démarrage (POA) sert d'extension au BIOS ou au micrologiciel de démarrage et garantit un environnement sécurisé et inviolable externe au système d'exploitation en tant que couche d'authentification fiable.

2
user69377

Ajouter simplement aux autres réponses pourquoi le cryptage ne vous évite pas de continuer le cryptage.

Disons que votre fichier ne contient que 4 lettres, "abc4" (ou pensez-y simplement comme une simple chaîne)

Vous cryptez ce fichier avec un cryptage très simple qui prend un "mot de passe", puis ajoutez cela à chaque caractère de votre fichier. Nous prenons "3" comme mot de passe donc notre méthode de cryptage ressemble à ceci:

for (int i=0; i<file_length; i++){
    file[i]=file[i]+3}

Il ajoute 3 à chaque espace de notre fichier pour que "abc4" devienne "def7"

La fonction de décryptage pour cela serait la suivante (faites attention au signe - lorsque nous "rétablissons" le cryptage):

for (int i=0; i<file_length; i++){
    file[i]=file[i]-3}

résultant dans notre chaîne initiale "abc4"

Si maintenant le ransomeware essaie de crypter votre fichier, peu importe qu'il soit déjà crypté ou non. Prendre la méthode de cryptage suivante pour le ransomware:

 for (int i=0; i<file_length; i++){
    file[i]=file[i]*2}

votre fichier crypté (def7) deviendrait "hjl14" (disons simplement que 10 vient après 9 dans ce format).

Si vous essayez maintenant de décrypter "hjl14" avec votre méthode de soustraction de tout par 3, vous obtiendrez "egi11" qui serait toujours illisible pour vous.

1
user2875404