Dove ransomware come la recente variante wannacry memorizza la chiave che usa per crittografare i file sul disco della vittima?
Questo codice è codificato nel programma stesso? O chiama in un server per ottenere una chiave? Se uno di questi è il caso, l'applicazione potrebbe essere decodificata o il traffico sniffato per ottenere la chiave e decifrare i file, quindi perché non è questo il caso? O il virus genera una chiave per infezione?
Tutte le implementazioni di ransomware sono diverse, ma per la maggior parte, le varianti particolarmente stupide che hanno fatto cose come usare una chiave codificata, o usare metodi di generazione di chiavi facilmente ipotizzabili o riproducibili sono state eliminate e sostituite da varianti molto più potenti.
Per wannacry in particolare, ogni infezione crea una nuova coppia di chiavi RSA sulla macchina che viene infettata. La chiave privata di questa coppia viene quindi crittografata con una chiave pubblica inviata nel malware, che fa parte di una coppia di chiavi di proprietà dell'autore wannacry.
La nuova chiave pubblica specifica per infezione viene quindi utilizzata per crittografare le chiavi AES, che vengono generate utilizzando un CSPRNG e viene generata una nuova chiave AES per ogni file crittografato.
Presumibilmente una volta pagato il riscatto, gli autori di malware utilizzeranno la loro chiave privata (l'altra metà della chiave pubblica per la chiave pubblica codificata nel malware) per decrittografare la tua chiave privata, che lo strumento decrittore può quindi utilizzare per decodificare le chiavi AES e, a sua volta, i file.
Leggi altre domande sui tag encryption ransomware