È possibile decifrare la crittografia ransomware se ho 2 versioni di un file: prima e dopo la crittografia? Esistono strumenti per una cosa del genere?
Sono sicuro che ci sono strumenti là fuori per aiutare nel processo, ma non riesco a pensare a nessuno dei miei pensieri.
L'"attacco" che utilizzeresti per violare la crittografia sarebbe un noto attacco di testo normale poiché hai una versione non crittografata (testo normale) e crittografata (testo cifrato) dello stesso file. Se potessi cambiare il testo in chiaro e ricodificarlo, potresti trasformare il processo in un attacco di testo in chiaro scelto, che è leggermente più facile da violare. A seconda del ransomware, tuttavia, potrebbe non utilizzare la stessa tecnica di crittografia ogni volta.
Conoscere i passi necessari per passare da uno stato all'altro richiederebbe di capire o rompere la crittografia utilizzata e, come ha detto schroeder, questa è una cosa molto difficile da fare. Richiederebbe probabilmente milioni di ore di elaborazione da eseguire.
Dato che il termine ransomware si applica a un'intera classe di software dannoso e non a codice di una singola entità con un singolo algoritmo tutto è possibile ma è altamente improbabile.
Lo scenario che descrivi è chiamato attacco in chiaro e noto ed è stato utile per spezzare la crittografia della seconda guerra mondiale (1940) ma è qualcosa che i codici moderni sono specificamente progettati per difendersi. Un cifrario moderno che può essere attaccato più velocemente della forza bruta usando testo in chiaro e testo cifrato è considerato rotto.
Quindi, se l'autore ha implementato correttamente AES, è immune alla crittanalisi in chiaro. È possibile che l'autore del malware sia stato grossolanamente incompetente ma ne dubito.
Se gli sviluppatori di ransomware hanno utilizzato la crittografia errata o se hanno commesso altri errori di implementazione, potrebbe esserci un grosso vantaggio per la persona che esegue il recupero. Un esempio è torrentlocker , che utilizza le cifre del flusso con la stessa chiave per ogni file . Ciò ha reso estremamente semplice il recupero dal malware poiché tutti i file potrebbero essere ripristinati se fosse disponibile una copia di un file originale.
Se hai un'infezione vera e propria, puoi provare a trovare alcuni post simili sul ransomware in questione. Gli sviluppatori si sbagliano continuamente, scommetto che capita anche agli sviluppatori di malware.
Oltre alla risposta di JekWa, è importante considerare che alcuni ransomware (ad es. CryptoLocker) crittografano ogni file con la sua unica chiave simmetrica casuale.
Questa chiave di crittografia simmetrica viene quindi crittografata con una chiave pubblica RSA univoca (per ogni vittima) e salvata con il file crittografato. Pertanto, il file può essere recuperato solo se si paga la chiave privata RSA.
In questo caso, capire la chiave per ogni dato file non ti aiuterà affatto con gli altri file. In effetti, il ransomware probabilmente funziona in questo modo per sconfiggere questo tipo di contrattacco. Quindi, l'unica risorsa che hai è il factoring del modulo di chiave pubblica RSA, che è impossibile (in pratica).
Leggi altre domande sui tag ransomware antimalware decryption