Come funziona "Ransomware"?

4

Quindi mi chiedo come funzionano i file Ransomware.

So che Ransomware crittografa tutti i file con AES-256 per la velocità ma da dove viene RSA? Apparentemente RSA è lento nel crittografare i file, quindi usa prima AES-256 e poi RSA? Qualcuno può spiegarmelo?

Inoltre, la chiave RSA proviene dal server dei criminali C & C che blocca la chiave AES? Se questo è il caso, il tasto AES non dovrebbe essere recuperabile?

Se è possibile per chiunque darmi una panoramica completa su come Ransomware di solito funziona nella crittografia dei file, sarebbe bello.

Grazie

    
posta Sam 26.01.2016 - 08:17
fonte

3 risposte

5

Dipende molto dallo sviluppatore del ransomware. Lo stesso Ransomware è solo un malware che richiede il pagamento per essere rimosso dal tuo computer. Per influenzare la vittima a pagare tecniche come prevenire o rendere più difficile un compito particolare.

Il codice di sblocco sarà solo una chiave pubblica / privata di crittografia. Quindi, la vittima avrà solo la chiave pubblica e il proprietario avrà la chiave privata che verrà fornita a pagamento della vittima per liberare il malware dalla macchina. Non è necessario eseguire un sito Web per la chiave privata, in quanto qualsiasi richiesta all'utente per il pagamento esporrà semplicemente la chiave pubblica. Pertanto, il proprietario può disporre di una chiave privata per accedere a tale chiave pubblica.

Wiki - Crittografia a chiave pubblica

Wiki - Ransomware

    
risposta data 26.01.2016 - 09:19
fonte
3

Crittografia ibrida.

Utilizzano un Hybrid Cryptosystem . L'idea generale è questa:

  • Genera un tasto AES casuale.
  • Utilizza la chiave AES per la crittografia di massa.
  • Cripta la chiave AES con la chiave RSA pubblica integrata.
  • Elimina la chiave AES dal disco.
  • Mostra la chiave AES crittografata con RSA all'utente in una richiesta di riscatto.

Ecco un bel post sul blog con un look approfondito:

risposta data 26.01.2016 - 09:57
fonte
0

La cosa più importante da tenere a mente sul ransomware è che lo scopo dei creatori è quello di far pagare la vittima al riscatto. Da questo punto di vista è importante notare il fatto che ci sono almeno tre categorie di ransomware:

  1. Tipico ransomware, che crittografa i file e se le vittime pagano, ricevono chiavi o strumenti di decrittografia e possono recuperare i file;
  2. Il ransomware che crittografa, distrugge o sostituisce i file e anche se le vittime pagano, non riceveranno mai i loro dati (uno studio del 2016 stima che il 20% di coloro che pagano, non recuperi i propri dati);
  3. Gli armadietti, che non crittografano i file, ma impediscono alle persone di usare i loro computer negando l'accesso al desktop, a Windows Explorer, al Task Manager e ad altre app, a meno che non paghino un riscatto.

Per quanto riguarda la crittografia dei file, che viene eseguita da molte varianti di ransomware, in genere utilizzano una combinazione di crittografia a chiave simmetrica, che è veloce (ad esempio AES, DES) e crittografia a chiave asimmetrica (ad esempio RSA).

La chiave simmetrica viene generalmente generata dinamicamente ed esiste nella memoria dell'eseguibile ransomware durante il processo di crittografia. La chiave pubblica asimmetrica viene utilizzata per crittografare la chiave simmetrica e il risultato viene comunicato ai creatori del ransomware in generale seguendo i passaggi del file relativo al riscatto.

Molti ransomware usano la libreria CryptoAPI di Windows, ma ci sono anche varianti che incorporano gli algoritmi di crittografia nel codice malware (ci sono molte implementazioni di questi algoritmi in diversi linguaggi di sviluppo, disponibili pubblicamente).

    
risposta data 12.03.2017 - 19:34
fonte

Leggi altre domande sui tag