Efficacia della protezione ransomware auto-prodotta

Question

Efficacia della protezione ransomware auto-prodotta

#1 da (5 voti)

1

Recentemente mi sono chiesto come aggirare malware come il famigerato Cryptolocker qualche tempo fa e mi chiedevo sull'efficacia di avere un set di file con contenuto conosciuto in una posizione nota e poi, nel caso di un'infezione da malware ransomware , utilizzando questi file per scoprire la chiave crittografica utilizzata per crittografare i file.

Ad esempio, nel caso di Cryptolocker, era noto abbastanza presto che la funzione crittografica che codificava i file era RSA, e quindi potevano essere fatti tentativi di forza bruta al ripristino della chiave.

Ovviamente, questo non è un approccio ideale in quanto richiede una grande quantità di calcoli, ma con la programmazione GPGPU accanto a architetture CPU parallele (o persino a calcolo distribuito) e la disabilitazione di qualsiasi cancellazione temporizzata di file da parte del malware è questo approccio completamente irrealizzabile?

cryptography encryption malware antimalware

posta Thomas Russell 18.09.2014 - 14:37

fonte

1 risposta

Leggi altre domande sui tag cryptography encryption malware antimalware

OWASP ESAPI Implementazione PHP per attacchi XSS Protezione della password nel codice

score 5 · Accepted Answer

Sì, è completamente irrealizzabile . Il tuo suggerimento si basa su di te che conosci il contenuto di un particolare file. Si desidera utilizzare questo e il file crittografato per decrittografare gli altri file. Ci sarebbero due modi per affrontarlo. Uno sarebbe utilizzare i punti deboli dell'algoritmo di crittografia in un attacco noto in testo normale , il secondo, a cui ci si rivolge in il tuo ultimo paragrafo, proverebbe ogni chiave in un attacco a forza bruta. Tuttavia, entrambi gli approcci possono essere resi praticamente impossibili. La forza bruta è senza speranza con uno spazio delle chiavi abbastanza grande, e gli attacchi di testo in chiaro noti non funzionano su algoritmi sofisticati come RSA. Quindi, quando il tuo ransomware è "ben" implementato, può effettivamente bloccare i tuoi dati in un modo che nessuno, tranne il ransomware writer, può decrittografarlo.

A proposito, conoscere l'algoritmo di crittografia per qualsiasi sistema non dovrebbe indebolirlo. In effetti, gli algoritmi pubblici (concordati) sono considerati più forti in quanto possono essere esaminati dai ricercatori di tutto il mondo. È improbabile che tu possa permettersi recensioni simili per il tuo algoritmo segreto.

La migliore protezione dei ransomware sono i backup offline . I backup online (unità sempre connessa al computer, NAS montato automaticamente, ecc.) Non saranno di aiuto in quanto potrebbero essere accessibili dal ransomware. L'unica eccezione sono i servizi online come Dropbox che memorizzano la cronologia dei file .