¿Puede encontrar la clave de ransomware si ya ha descifrado archivos?

Navega tus respuestas
3

Descargo de responsabilidad : tengo muy poca experiencia con ransomware / encriptación, así que lo siento si le pregunto algo estúpido.

Los ataques de ransomware están en todas las noticias, especialmente este año. Y esto me hizo pensar en una situación muy típica en el mundo real:

  • El usuario X tiene muchos archivos en su PC
  • Los respalda de vez en cuando (escuchó que es una buena idea), pero es perezoso y lo hace muy rara vez
  • Se infecta con ransomware y todos los 10,000 de sus archivos importantes están encriptados (10,000 es solo un ejemplo aquí)
  • Sin embargo, la buena noticia es que hizo una copia de seguridad de 1,000 de sus archivos en un disco duro externo

Así que aquí hay una idea para recuperar los otros 9,000 archivos: ¿Qué pasa si tenemos un software que compara los 1,000 archivos cifrados (de su computadora infectada) con los mismos 1,000 archivos originales (de la copia de seguridad) y tratamos de deducir la clave de cifrado? de esa manera?

1,000 archivos deberían proporcionarle datos suficientes para permitir millones de puntos de comparación y espacio para la búsqueda de patrones, de modo que esto sea mucho más rápido / eficiente que un enfoque típico de fuerza bruta (por ejemplo, 6 horas de tiempo de cálculo en lugar de un típico 10 mil años).

Una vez que encontremos la clave de cifrado (de las 1.000 a las 1.000 comparaciones), podemos usarla para descifrar los otros 9.000 archivos y no tenemos que pagar el rescate.

Así que mis preguntas son:

  • ¿Es algo así como posible? ¿Funcionaría? Por lo que he visto / escuchado (nunca me infecté con el ransomware), el mensaje de rescate que recibes generalmente te dice qué método de cifrado se usó, qué tan grande es la clave, etc.
  • ¿Es esto algo que puede funcionar solo con ciertos algoritmos de cifrado y no con otros?

Si tuviera que adivinar, diría que la respuesta es NO por 2 razones:

  • si fuera posible, alguien mucho más inteligente que yo lo hubiera pensado y ya lo habría hecho
  • encontrar dichos patrones y hacer comparaciones implica estar al tanto de las debilidades en el sistema de cifrado, lo que a su vez implica un sistema de cifrado vulnerable. Esto significa que, en primer lugar, NO se utilizará en dichos ataques.

¿Qué piensas de todo esto? (por favor recuerde el descargo de responsabilidad en la parte superior)

    
pregunta Radu Murzea 16.08.2017 - 16:12
fuente

1 respuesta

4

Sí, has respondido bastante bien a tu propia pregunta, pero aquí hay más contexto.

Resulta que lo que has creado tiene un nombre, de wikipedia :

  

El attac texto llano conocido k (KPA) es un modelo de ataque para criptoanálisis donde el atacante tiene acceso tanto al texto llano (llamado cuna) como a su versión cifrada (texto cifrado). Se pueden usar para revelar información secreta adicional, como claves secretas y libros de códigos.

Esta es una propiedad de seguridad fundamental a la que todos los sistemas de cifrado modernos deben ser resistentes. El hecho de no estar seguro contra los ataques conocidos de texto simple sin duda se consideraría una vulnerabilidad grave, y el cifrado probablemente se consideraría "roto". Por lo general, se utilizan cadenas de cifrado de bloques con Inicialization Vectors (IVs) por archivo para frustrar los intentos de encontrar correlaciones entre diferentes texto de texto sin cifrar pares.

    
respondido por el Mike Ounsworth 16.08.2017 - 16:27
fuente

Lea otras preguntas en las etiquetas

¿Qué consideraciones de seguridad debo hacer al elegir una aplicación TOTP? ¿El cifrado de la partición / boot en un sistema Linux puede proteger de un ataque de Evid Maid?