¿Cómo funciona el "ransomware"?

Navega tus respuestas
4

Así que me pregunto cómo funcionan los archivos de Ransomware.

Sé que Ransomware encripta todos los archivos con AES-256 para la velocidad, pero ¿dónde entra RSA? Aparentemente, RSA es lento para cifrar archivos, por lo que usa AES-256 primero y luego RSA. ¿Alguien me puede explicar eso?

Además, ¿la clave RSA proviene del servidor de los criminales C & C que bloquea la clave AES? Si este es el caso, ¿no debería ser recuperable la clave AES?

Si es posible que alguien me dé un resumen completo de cómo funciona el ransomware en el cifrado de archivos, sería bueno.

Gracias

    
pregunta Sam 26.01.2016 - 08:17
fuente

3 respuestas

5

Realmente depende del desarrollador del ransomware. El propio ransomware es un malware que solicita el pago para que lo eliminen de su computadora. Influir en la víctima para que pague técnicas tales como prevenir o dificultar una tarea en particular.

El código de desbloqueo será solo una clave pública / privada de criptografía. Por lo tanto, la víctima solo tendrá la clave pública y el propietario tendrá la clave privada que se proporcionará en el pago de la víctima para liberar el malware de la máquina. No es necesario que ejecute un sitio web para la clave privada, ya que todo lo que solicite el pago al usuario solo expondrá la clave pública. Por lo tanto, el propietario puede tener una clave privada para ir con esa clave pública.

Wiki - Criptografía de clave pública

Wiki - Ransomware

    
respondido por el Paul 26.01.2016 - 09:19
fuente
3

Encriptación híbrida.

Utilizan un Cryptosystem híbrido . La idea general es la siguiente:

  • Generar clave AES aleatoria.
  • Use esa clave AES para el cifrado masivo.
  • Cifre la clave AES con una clave RSA pública incorporada.
  • Eliminar la clave AES del disco.
  • Mostrar la clave AES cifrada RSA al usuario en una nota de rescate.

Aquí hay una bonita publicación de blog con una mirada en profundidad:

respondido por el StackzOfZtuff 26.01.2016 - 09:57
fuente
0

Lo más importante a tener en cuenta sobre el ransomware es que el propósito de los creadores es que la víctima pague el rescate. Desde este punto de vista, es importante tener en cuenta el hecho de que existen al menos tres categorías de ransomware:

  1. El ransomware típico, que cifra los archivos y, si las víctimas pagan, reciben claves o herramientas de descifrado y pueden recuperar los archivos;
  2. El ransomware que cifra, destruye o reemplaza archivos e incluso si las víctimas pagan, nunca recibirán sus datos (un estudio de 2016 estima que el 20% de los que pagan, no recuperan sus datos);
  3. Los lockers, que no cifran archivos, pero evitan que las personas usen sus computadoras al denegar el acceso al escritorio, al explorador de Windows, al administrador de tareas y otras aplicaciones, a menos que paguen un rescate.

Con respecto al cifrado de archivos, que se realiza mediante muchas variantes de ransomware, generalmente usan una combinación de cifrado de clave simétrica, que es rápido (por ejemplo, AES, DES) y cifrado de clave asimétrica (por ejemplo, RSA).

La clave simétrica generalmente se genera de forma dinámica, y existe en la memoria del ejecutable ransomware durante el proceso de cifrado. La clave pública asimétrica se usa para cifrar la clave simétrica, y el resultado se comunica a los creadores del ransomware generalmente siguiendo los pasos en el archivo relacionado con el rescate.

Muchos ransomware utilizan la biblioteca CryptoAPI de Windows, pero también hay variantes que incorporan los algoritmos de cifrado en el código de malware (hay muchas implementaciones de estos algoritmos en diferentes lenguajes de desarrollo, disponibles públicamente).

    
respondido por el lucim 12.03.2017 - 19:34
fuente

Lea otras preguntas en las etiquetas

Autentificación de clave pública SSH vs Nombre de usuario / contraseña para acceso a API ¿Cómo puedo configurar mi servidor para que solo acepte solicitudes de mi propia aplicación cliente? (similar a los certificados de cliente SSL)