Descargo de responsabilidad : tengo muy poca experiencia con ransomware / encriptación, así que lo siento si le pregunto algo estúpido.
Los ataques de ransomware están en todas las noticias, especialmente este año. Y esto me hizo pensar en una situación muy típica en el mundo real:
- El usuario X tiene muchos archivos en su PC
- Los respalda de vez en cuando (escuchó que es una buena idea), pero es perezoso y lo hace muy rara vez
- Se infecta con ransomware y todos los 10,000 de sus archivos importantes están encriptados (10,000 es solo un ejemplo aquí)
- Sin embargo, la buena noticia es que hizo una copia de seguridad de 1,000 de sus archivos en un disco duro externo
Así que aquí hay una idea para recuperar los otros 9,000 archivos: ¿Qué pasa si tenemos un software que compara los 1,000 archivos cifrados (de su computadora infectada) con los mismos 1,000 archivos originales (de la copia de seguridad) y tratamos de deducir la clave de cifrado? de esa manera?
1,000 archivos deberían proporcionarle datos suficientes para permitir millones de puntos de comparación y espacio para la búsqueda de patrones, de modo que esto sea mucho más rápido / eficiente que un enfoque típico de fuerza bruta (por ejemplo, 6 horas de tiempo de cálculo en lugar de un típico 10 mil años).
Una vez que encontremos la clave de cifrado (de las 1.000 a las 1.000 comparaciones), podemos usarla para descifrar los otros 9.000 archivos y no tenemos que pagar el rescate.
Así que mis preguntas son:
- ¿Es algo así como posible? ¿Funcionaría? Por lo que he visto / escuchado (nunca me infecté con el ransomware), el mensaje de rescate que recibes generalmente te dice qué método de cifrado se usó, qué tan grande es la clave, etc.
- ¿Es esto algo que puede funcionar solo con ciertos algoritmos de cifrado y no con otros?
Si tuviera que adivinar, diría que la respuesta es NO por 2 razones:
- si fuera posible, alguien mucho más inteligente que yo lo hubiera pensado y ya lo habría hecho
- encontrar dichos patrones y hacer comparaciones implica estar al tanto de las debilidades en el sistema de cifrado, lo que a su vez implica un sistema de cifrado vulnerable. Esto significa que, en primer lugar, NO se utilizará en dichos ataques.
¿Qué piensas de todo esto? (por favor recuerde el descargo de responsabilidad en la parte superior)