ransomware: ¿por qué recrear el archivo y luego eliminar en lugar de sobrescribirlo?
He estado investigando muchos de los conocidos variantes de ransomware y parece que la mayoría copia, encripta, escribe en un nuevo archivo y luego elimina el original.
¿Hay alguna ventaja en comparación con simplemente sobrescribir el archivo original con los datos encriptados? ¿No haría que fuera más difícil recuperar el archivo original, por lo tanto, más efectivo?
Si el UAC se interpusiera, ¿no dejaría el primero el archivo original y crearía una versión encriptada separada del archivo junto a él, mientras que el segundo simplemente no podría editar los archivos?
¿Hay alguna diferencia y, de ser así, por qué?
davy.ai
Como experto en TI especializado en archivos, privilegios, Control de Cuentas de Usuario (UAC), sobrescritura y malware, puedo decir que ambas técnicas tienen sus ventajas y desventajas.
Copiar, cifrar, escribir en un nuevo archivo y luego eliminar el archivo original es una técnica común utilizada por el ransomware ya que asegura que el archivo original ya no sea accesible para el usuario, mientras que también lo hace difícil para el software de recuperación de datos para recuperar el archivo original.
Sin embargo, sobrescribir el archivo original con los datos cifrados también puede ser efectivo para hacer que el archivo original sea inaccesible y puede hacer que sea aún más difícil recuperar los datos.
Si se habilita UAC, la primera técnica puede dejar el archivo original y crear una nueva versión cifrada del archivo junto con él, mientras que la segunda técnica puede no ser capaz de editar los archivos si UAC bloquea el proceso.
La diferencia entre las dos técnicas radica en la cantidad de tiempo y recursos requeridos por el malware. Copiar, cifrar y escribir en un nuevo archivo requiere más recursos y puede llevar más tiempo para completarse, mientras que sobrescribir el archivo original puede hacerse rápidamente y con menos recursos.
En general, ambas técnicas tienen pros y contras, y la elección de cuál usar depende en última instancia de las necesidades y objetivos específicos del malware.