Le processus de base consiste à lire le contenu de votre fichier et à le réécrire sur le disque en utilisant une forme de cryptage asymétrique pour vous assurer que vous devez payer pour récupérer vos données. Certains ne crypteront que de petites sections des données pour améliorer la vitesse, d'autres réécriront l'intégralité de votre disque dur s'ils le peuvent. Comme certaines des autres réponses le notent, certains logiciels malveillants crypteront simplement une partie de votre fichier sur place pour accélérer le processus, car pour de nombreux formats de fichiers, même un léger changement dans le fichier rend l'ensemble du fichier inutilisable.
Comment les ransomwares comme CTB-Locker ou Crypt0l0cker peuvent-ils crypter instantanément les fichiers de leurs victimes?
Ils ne le peuvent pas. Au lieu de cela, ils dissimulent leur activité en faisant sembler que les fichiers sont OK jusqu'à ce que le processus soit terminé. En interceptant les appels du système de fichiers, vous pouvez modifier la vue de l'utilisateur de ce qui est réellement présent sur le disque, ce qui donne l'impression que tout est toujours OK jusqu'à ce que vous ayez terminé, puis lorsque vous supprimez les interceptions, l'utilisateur peut voir le véritable état du lecteur . Le danger en faisant cela est que vous devez avoir les deux parties de votre paire de clés asymétriques afin de décrypter les fichiers à la volée lorsque l'utilisateur en ouvre une, ce qui signifie en principe que quelque chose pourrait trouver la clé privée que vous souhaitez vendre l'utilisateur plus tard.
D'autres logiciels malveillants comme CryptoWall (avec lesquels j'ai eu plus d'expérience récemment que je ne veux m'en souvenir) ne prennent pas la peine de se cacher, ils s'enflamment en chiffrant tout aussi rapidement que possible ... et c'est à peu près limité par la vitesse d'E / S du disque sur lequel il crypte.
En regardant quelques benchmarks pour AES - qui est l'algorithme de cryptage que CryptoWall prétend utiliser - un processeur moderne modeste peut crypter les données à des débits bien supérieurs à 100 Mo / s, ce qui signifie que l'opération est susceptible d'être liée aux E / S sur autre chose qu'un SSD. Ajoutez plusieurs threads s'exécutant sur des cœurs de processeur distincts ciblant différents dossiers et / ou lecteurs et le processus peut se terminer assez rapidement.
J'ai récemment dû nettoyer un serveur de fichiers qui avait été traité par CryptoWall fonctionnant sur l'un des PC des utilisateurs. Au moment où les utilisateurs ont remarqué que quelque chose n'allait pas, le malware fonctionnait depuis environ 1,75 heure. Nous avons retiré la chose du réseau à un peu moins de 2 heures et pendant le nettoyage, j'ai trouvé environ 230 Go de fichiers cryptés. C'est une moyenne de chiffrement d'environ 30 Mo / s, ce qui est certainement faisable dans l'environnement. Il a fallu environ 3 fois plus de temps pour restaurer les fichiers de la sauvegarde précédente. Bien que j'aie quelques idées sur la façon d'accélérer cela la prochaine fois, la plupart des clients ont leurs sauvegardes sur des NAS de merde à bas prix ou ( frissonner ) sur des clés USB.
Malheureusement, nous sommes peu probables pour voir une fin à tout moment à ces choses. Une solution de sauvegarde compétente et correctement configurée est votre meilleur ami lorsque l'une de ces choses se produit. Cela ne fait pas de mal d'avoir un programmeur à portée de main pour programmer la restauration.