Disclaimer : ho un'esperienza molto piccola con ransomware / crittografia, quindi mi dispiace se chiedo qualcosa di stupido.
Gli attacchi dei ransomware sono dappertutto, specialmente quest'anno. E questo mi ha fatto pensare a una situazione molto tipica nel mondo reale:
- L'utente X ha molti file sul suo PC
- Di tanto in tanto li sostiene (ha sentito che è una buona idea), ma è pigro e lo fa molto raramente
- Viene infettato dal ransomware e tutti i 10.000 dei suoi file importanti sono crittografati (10.000 è solo un esempio qui)
- Tuttavia, la buona notizia è che ha eseguito il backup di 1.000 dei suoi file su un disco rigido esterno
Quindi ecco un'idea per il recupero degli altri 9000 file: se avessimo un software che confronta i 1000 file crittografati (dal suo computer infetto) con gli stessi 1.000 file originali (dal backup) e cerca di dedurre la chiave di crittografia in questo modo?
1.000 file dovrebbero fornire dati sufficienti per consentire a milioni di punti di confronto e spazio per la ricerca di pattern, in modo che questo diventi molto più veloce / efficiente di un tipico approccio a forza bruta (ad esempio 6 ore di tempo di calcolo invece di un tipico 10 mila anni).
Una volta trovata la chiave di crittografia (dai 1.000 ai 1.000 confronti), possiamo usarla per decrittografare gli altri 9000 file e non dobbiamo pagare il riscatto.
Quindi le mie domande sono:
- È qualcosa di simile a questo possibile / possibile? Funzionerebbe? Da quello che ho visto / sentito (non sono mai stato infettato da ransomware), il messaggio di riscatto che ottieni solitamente ti dice quale metodo di crittografia è stato utilizzato, quanto è grande la chiave ecc.
- È qualcosa che può funzionare solo con determinati algoritmi di crittografia e non con altri?
Se dovessi indovinare, direi che la risposta è NO per 2 motivi:
- se fosse possibile, qualcuno molto più intelligente di me ci avrebbe pensato e fatto già
- trovare tali schemi e fare i confronti implica essere consapevoli delle debolezze nel sistema di crittografia, che a sua volta implica un sistema di crittografia vulnerabile. Ciò significa che NON verrà utilizzato in tali attacchi in primo luogo.
Quali sono i tuoi pensieri su tutto questo? (ricorda il disclaimer in alto)