@francescfri Lo habitual es que sea descargando un archivo infectado (no tiene porque ser un correo pero también vale como forma de propagación) (lo de telefónica fue precisamente porque un empleado abrió un adjunto .zip adjunto en un correo)
Eso no implica que (pero suele ser raro) no se pueda propagar accediendo a un pagina web cuyo servidor esta infectado este método como digo suele ser raro porque depende de un vulnerabilidad de software (que tú navegador sea vulnerable) para poder asi acceder a tú sistema (motivo por el cual recomiendo mantener los navegadores usados de forma habitual actualizados y no acceder a sitios extraños).
Según se cada ransomware tiene una forma distinta de encriptar los archivos (y distintos sistemas de encriptación dependiendo del ransomware).La inmensa mayoría de ellos no cifran todo el archivo (con el objetivo de poder así cifrar el máximo numero de archivos en el menor tiempo posible para evitar que el usuario se de cuenta y reaccione a tiempo). Básicamente la mayoría de ellos:
1) Omiten los primeros 512 bytes del archivo para que el encabezado del archivo permanezca intacto y asi Windows pueda identificar el archivo como un .doc un .pdf un vídeo, una imagen ect...).
2) Cifrar el primer MB de datos utilizando la clave de cifrado publica.
3) Si el archivo es más pesado de ese MB , deja el resto sin cifrar. Pero la mayoría e archivos (salvo los de vídeo y audio) quedan totalmente inutilizados con solo encriptar ese MB.
Normalmente el cifrado suele ir a una velocidad de 30MB/s en un HDD de 5400rpm lo que dependiendo de la cantidad de ficheros suele llevar entre 30 minutos y 9h en los PC de usuarios normales.
La inmensa mayoría cifran todas las unidades incluyendo las unidades de los equipos que haya en red e incluso algunos hijos de se meten en las unidades USB (es por eso que en una red corporativa como la de Telefónica dijeron por megafonía que
"todo Dios apagase sus equipos" porque el idiota que había infectado su PC estaba causando estragos en todos os PCs de la red corporativa de Telefónica).
Por supuesto hay otros ransomware que cifran todo el archivo o que solo cifran archivos con determinada extensión (.doc, .pdf, mp4 ect...) pero son una minoría pues cifrar todo el archivo incrementa el tiempo de forma exponencial (yo tengo 8,35TB de datos ocupados en 4 HDD si tuvieran que cifrarlo todo a 30MB/s tardarían algo así como 81H (imposible sin que yo me de cuenta antes)
En cambio si solo cifran el primer MB de datos la cosa cambia porque ya no dependes del Tamaño de MB ocupados en el HDD si no de la cantidad de archivos que tengas (yo por ejemplo tengo un total de 843.808 archivos por lo que tardaría 7h y 48 minutos en cifrarme todos los archivos. Pero es que hay mas porque la inmensa mayoría del espacio ocupado son archivos de vídeo pesados (26.003 archivos ocupan 7TB) por lo que en apenas 14 minutos y medio me joderían vivo.
Y esto es el tiempo aproximado en un HDD de 5400rpm solo de pensar cuanto tardaría en unidades SSD da escalofríos.Como ves el archivo queda totalmente inutilizado sin posibilidad de recuperar nada (salvo los archivos de audio y vídeo que podrías recuperar la parte sin cifrar) con solo cifrar el primer MB de datos del archivo por lo que el tiempo se reduce de forma exponencial (menos tiempo para darte cuente de que algo pasa).
Ademas de que como se propaga por la unidades de red como tengas algún NAS o equipo en tú red local........(ya te lo imaginas)
De todas formas (que yo sepa) no hay ningún ransomware que haga "
escalada de privilegios" por lo que si la carpeta/archivos esta limitadas (mediante permisos) a solo lectura, o solo ejecución el ransomware no podría hacerte nada (pues no podría modificar el archivo).
El problema es que casi todo el mundo (yo me incluyo
)usa cuentas administrativas con permiso de "
Control Total" y claro tener "Control Total" le da al ransomware vía libre
Saludos
como el control remoto para detener a los androides en caso de emergencia (hay krilin la liaste parda jajaja)![[beer]](/images/smilies/nuevos2/brindando.gif "brindis")
pero bueno estamos pensando en conspiraciones y demas . ![[angelito]](/images/smilies/nuevos/angelito.gif "angelito")
![[qmparto]](/images/smilies/net_quemeparto.gif "Que me parto!")
![[mad]](/images/smilies/nuevos/miedo.gif "loco")
![[plas]](/images/smilies/aplauso.gif "Aplausos")
![[looco]](/images/smilies/nuevos2/borracho.gif "loco")
![[+risas]](/images/smilies/nuevos/risa_ani3.gif "más risas")
