Perché WannaCry utilizza chiavi AES diverse per crittografare diversi file sull'host?

6

Ho una domanda dopo aver letto la discussione qui: chiavi di crittografia Ransomware

Quindi capisco il processo di crittografia di WannaCry ora, grazie alla risposta accettata data dalla comunità sulla pagina security.stackexchange linkata sopra. Tuttavia, ciò che non capisco è perché generare una chiave AES diversa per crittografare ogni file sul computer della vittima? L'utente malintenzionato potrebbe generare solo una chiave AES e crittografare tutti i file utilizzando tale chiave e quindi proteggere quella chiave utilizzando il meccanismo discusso nella pagina collegata.

Perché utilizzare diverse chiavi AES? Ha alcun vantaggio crittografico, strategico o operativo per l'aggressore? O è per pura paranoia?

    
posta whoami 25.01.2018 - 23:29
fonte

1 risposta

3

I criminali che hanno creato il ransomware non possono essere consultati per un commento. Ma noi possiamo esaminare i compromessi coinvolti.

Usando chiavi diverse per file diversi, consente agli autori dell'attacco di decifrare i file in base ai file, senza fornire la chiave a TUTTI i file.

Non ho un riferimento per questo in questo momento, ma ricordo che gli autori del ransomware offriranno di decifrare un file come dimostrazione di avere le chiavi (si potrebbe chiamare questa "buona fede"). Possono farlo solo se ogni file è crittografato con una password diversa. Se tutti i file sono stati crittografati con la stessa password, la decrittografia di un file consentirebbe la decodifica di TUTTI i file.

    
risposta data 20.07.2018 - 16:56
fonte