¿Cómo obtiene la contraseña el atacante al ransomware?

El atacante puede usar una forma de criptografía de clave pública. Para cada víctima, el atacante crea un par de claves pública / privada. Los archivos de la víctima se cifran utilizando la clave pública, pero necesitan la clave privada para descifrarlos nuevamente.

La clave privada solo se revela a la víctima una vez que se paga el rescate.

El ransomware crea una contraseña aleatoria, la envía al atacante, cifra sus archivos y los olvida. Cuando se da cuenta de que sus archivos están encriptados, la contraseña ya no estará en su computadora (puede ser recuperable si descubre el virus mientras aún está encriptando sus archivos, ya que estará en la memoria).

También he visto un ransomware que cifra la contraseña a la clave pública del atacante y luego le pide al usuario que incluya esa contraseña cifrada (que no puede decodificar) en un correo electrónico que solicita los archivos (la contraseña, en realidad).

Y finalmente, hay enfoques mixtos en los que la contraseña se envía al atacante, pero también se incluye (cifrada en una clave pública) dentro de cada archivo cifrado (en caso de que pierda el control del servidor C & C, probablemente).

Por no mencionar los casos en los que su computadora está comprometida y puede ser controlada de forma remota (por ejemplo, dejó abierto el Escritorio remoto con una contraseña débil), y el atacante inicia el proceso de encriptación de forma semi-manual, en cuyo caso tiene el La mayor flexibilidad y podría establecer lo que quieran.