¿Es posible descifrar el cifrado ransomware si tengo 2 versiones de un archivo: antes y después del cifrado? ¿Hay alguna herramienta para tal cosa?
Estoy seguro de que hay herramientas para ayudar en el proceso, pero no puedo pensar en nada fuera de mi cabeza.
El "ataque" que usaría para romper el cifrado sería un ataque conocido de texto simple ya que tiene una versión sin cifrar (texto plano) y una versión cifrada (texto cifrado) del mismo archivo. Si pudiera cambiar el texto simple y volver a cifrarlo, podría convertir el proceso en un ataque de texto simple elegido, que es un poco más fácil de romper. Dependiendo del ransomware, puede que no use la misma técnica de cifrado cada vez.
Saber los pasos tomados para pasar de un estado a otro requeriría descifrar o romper el cifrado utilizado y Schroeder dijo que esto es algo muy difícil de hacer. Es probable que requiera millones de horas de procesamiento para hacerlo.
Dado que el término ransomware se aplica a una clase completa de software malicioso y no a código de una sola entidad con un solo algoritmo, todo es posible, pero es muy poco probable.
El escenario que describe se denomina ataque de texto simple conocido y fue útil para romper la criptografía de la era de la Segunda Guerra Mundial (década de 1940), pero es algo contra lo que los cifrados modernos están específicamente diseñados para defenderse. Un cifrado moderno que puede ser atacado más rápido que la fuerza bruta utilizando texto plano y texto cifrado se considera roto.
Entonces, si el autor implementó AES correctamente, es inmune al criptoanálisis de texto simple. Es posible que el autor del malware sea sumamente incompetente, pero lo dudo.
Si los desarrolladores de ransomware han utilizado el cifrado incorrecto, o si han cometido otros errores de implementación, puede haber una gran ventaja para la persona que realiza la recuperación. Un ejemplo es torrentlocker , que usaba cifrados de flujo con la misma clave para cada archivo . Esto hizo que la recuperación del malware fuera extremadamente sencilla, ya que todos los archivos podrían recuperarse si hubiera una copia de un archivo original disponible.
Si tiene una infección real, podría intentar encontrar algunas publicaciones de blog similares sobre el ransomware específico en cuestión. Los desarrolladores se equivocan con el cifrado todo el tiempo, apuesto a que también les sucede a los desarrolladores de malware.
Además de la respuesta de JekWa, es importante tener en cuenta que algunos ransomware (por ejemplo, CryptoLocker) encripta cada archivo con su propia clave simétrica aleatoria única.
Esta clave de cifrado de archivo simétrico se cifra con una clave pública RSA única (para cada víctima) y se guarda con el archivo cifrado. Por lo tanto, el archivo solo se puede recuperar realmente si paga por la clave privada RSA.
En este caso, descifrar la clave de un archivo determinado no te ayudará en absoluto con los otros archivos. De hecho, el ransomware probablemente funciona de esta manera para derrotar este tipo de contraataque. Entonces, realmente el único recurso que tiene es factorizar el módulo de clave pública RSA, que es imposible (en la práctica).
Lea otras preguntas en las etiquetas ransomware antimalware decryption