话题讨论：反勒索的一个新角度？

ccboxes

aphorism 发表于 2016-12-5 20:43
咱是活在同一个地球吗，现在流行的勒索病毒不都是改后缀名吗
加密前或后修改后缀名给破解增加难度

你是在搞笑吗？还是说见习写手是水上来的完全不懂一点计算机运行原理？

真正确定文件类型的是文件的PE头，后缀名只是一个方便UI显示的标签，改后缀就是改文件名，你把123.doc改成321.doc或者doc.123，看着文件图标改了，然而数据还是那个数据，用Word还是该怎么打开怎么打开。而文件类型本身其实也只是一种为了通用性而规定的东西，没有也无所谓。
而所谓加密，是指用一系列数学方法对文件的数据进行转换，这个过程中代入公式的参数就是密钥。换言之，对于一个被加密的文件，其安全性是由其加密方法的复杂度和密钥的隐秘性两方面保证的。与文件名毫无关系。目前的勒索软件都使用RSA1024甚至RSA2048进行加密，目前没有任何办法破解该公开算法（穷举不算破解），各大安软厂商所谓的破解工具都是利用病毒本身编写上的疏漏获得加密时的密钥，而对于编写完善的勒索软件（加密结束即销毁密钥）加密的文件，在量子计算机研制成功前，任何工具都无能为力。

jasonliul

Lz, 继续前进, 癔症等着你.

佛说: 莫妄想

westbyte

原文件已经被删除，留下的只是加密产生的新文件。根本不需要改原文件的后缀名的好吧。

linzh

能不能改后缀都没用，都已经加密完了，文件即使不改后缀都是乱码的
另外文件名后缀只是然系统直接辨别文件类型用的，以减少cpu运算，现在能识别后缀的工具比比皆是，要是只改一个文件后缀的话几秒钟就能全部还原回来了
楼主图样图森破，不要总想搞个大新闻，人家黑客不知道比你高到哪里去了

核弹总裁黄仁勋

你试试把doc文件改了后缀看看能不能用word打开就知道防止改后缀是没啥效果的了！毕竟数据已经被加密了后缀不改有什么用？

猪头无双

后缀真心没啥用，只是个标签而已，现在勒索软件即使不改后缀名也能加密成功。

再说了，现在都流行整个硬盘加密的策略了，文件改不改已经不重要了。皮之不存毛将焉附。

日渐颓废的我们

其实勒索软件不是改后缀名……而是以原来的文件为本生成了一个新文件，然后删了老文件……原理其实和你打包压缩包差不多。一个文件压缩成.rar压缩包然后再把原来的文件删了看起来就是改了文件名了……

FUZE

。。。。我感觉楼主还需要靴习一个。。。

其实是老人

方法错了但善于思考，就是基础没搞懂。

諾言敵不過時間

倒不如白名單內的程序允許修改文檔圖檔，白名單外的修改一律詢問or封鎖。但要有個好的白名單庫就是了。
HIPS跟異地備份依然是最佳良藥。