Come fa l'hacker a ransomware a ottenere la password?

Naviga le tue risposte
6

Ho pensato al ransomware e siccome lo vedo la password sembra che dovrebbe essere un problema per l'attaccante. Posso vederlo scendere in due modi.

O la password è inclusa nel programma e impostata prima dell'attacco, nel qual caso la vittima può recuperare la password.

Oppure la password viene rispedita a uno dei server dell'utente malintenzionato e la password in quel caso potrebbe essere trovata in un registro sul computer della vittima o sull'apparecchiatura di rete lungo il percorso e anche rintracciare l'attaccante.

In entrambi i casi l'attaccante rischia che la vittima possa ottenere la password senza pagare. Hanno un altro modo di ottenere la password più sicura o non gli interessa se alcune vittime se ne vanno?

    
posta Frozendragon 10.08.2015 - 14:04
fonte

2 risposte

16

L'utente malintenzionato può utilizzare una forma di crittografia a chiave pubblica. Per ogni vittima, l'attaccante crea una coppia di chiavi pubblica / privata. I file della vittima sono crittografati utilizzando la chiave pubblica, ma hanno bisogno della chiave privata per decrittografarli di nuovo.

La chiave privata viene rivelata alla vittima solo dopo aver pagato il riscatto.

    
risposta data 10.08.2015 - 14:21
fonte
2

Il ransomware crea una password casuale, la invia all'attaccante, cifra i tuoi file e li dimentica. Nel momento in cui noti che i tuoi file sono crittografati, la password non è più nel tuo computer (potrebbe essere recuperabile se ti capita di individuare il virus mentre sta ancora crittografando i tuoi file, come sarà in memoria).

Ho anche visto il ransomware che crittografa la password per la chiave pubblica dell'aggressore e poi chiede all'utente di includere quella password cifrata (che non può decodificare) in una email che richiede i file indietro (la password, in realtà).

E infine, ci sono approcci misti in cui la password viene inviata all'attaccante, ma anche inclusa (crittografata su una chiave pubblica) all'interno di ogni file cifrato (nel caso in cui abbiano perso il controllo del server C & C, probabilmente).

Per non parlare dei casi in cui il computer è compromesso e in grado di essere controllato da remoto (ad es. hai lasciato Desktop remoto aperto con una password debole), e l'attaccante avvia il processo di crittografia manualmente, nel qual caso ha il la massima flessibilità e potrebbe impostare ciò che vogliono.

    
risposta data 10.08.2015 - 15:22
fonte

Leggi altre domande sui tag

Google Chrome e Spear-phishing Questo script di PowerShell è un'infezione?