De acuerdo con esta respuesta , WannaCry lo hará:
Mi pregunta es: ¿Por qué no reemplazar el paso 2 con: Encriptar la clave AES generada en el paso 1 con la clave pública que se incluye con WannaCry.
Según FireEye , WannayCry genera un nuevo AES clave para cada archivo que está a punto de cifrar en los sistemas de las víctimas. Entonces, si una víctima tiene 10000 archivos, necesitará 10000 claves AES para descifrarlos. Una suposición razonable es que el autor de WannaCry no quiere que se le transfieran todas las claves de 10000 AES, lo que provoca una gran pérdida de espacio y recursos de red. Por lo tanto, WannaCry genera un nuevo par de claves RSA (solo una para cada víctima), para cifrar todas las 10000 claves AES en el sistema de la víctima y luego cifrar la clave privada RSA por víctima con la clave pública RSA enviada. Finalmente, WannaCry transfiere el texto cifrado (clave privada RSA cifrada por víctima) a la mano del autor.
De esta manera, el autor de WannaCry deberá elegir entre 2 opciones:
Con el 1er método, sus recursos de servidor (espacio y ancho de banda) serán utilizados en exceso. Con el segundo método, todos los que pagaron un rescate tienen una clave de cifrado adecuada para cada máquina, por lo que si alguien paga una vez, podrá descifrar cada máquina cifrada sin tener que pagar más.
Lea otras preguntas en las etiquetas public-key-infrastructure encryption ransomware aes rsa