¿Cómo obtiene la contraseña el atacante al ransomware?

6

He estado pensando en el ransomware y, como lo veo, la contraseña parece ser un problema para el atacante. Puedo verlo bajar de una de dos maneras.

O la contraseña se incluye en el programa y se establece antes del ataque, en cuyo caso la víctima puede recuperar la contraseña.

O la contraseña se envía de vuelta a uno de los servidores del atacante y la contraseña en ese caso se puede encontrar en un registro en la computadora de la víctima o en el equipo de red en camino y también hace que el atacante sea rastreable.

En ambos casos, el atacante corre el riesgo de que la víctima pueda obtener la contraseña sin pagar. ¿Tienen otra forma de obtener la contraseña que sea más segura o no les importa si algunas víctimas se escapan?

    
pregunta Frozendragon 10.08.2015 - 14:04
fuente

2 respuestas

16

El atacante puede usar una forma de criptografía de clave pública. Para cada víctima, el atacante crea un par de claves pública / privada. Los archivos de la víctima se cifran utilizando la clave pública, pero necesitan la clave privada para descifrarlos nuevamente.

La clave privada solo se revela a la víctima una vez que se paga el rescate.

    
respondido por el Simon B 10.08.2015 - 14:21
fuente
2

El ransomware crea una contraseña aleatoria, la envía al atacante, cifra sus archivos y los olvida. Cuando se da cuenta de que sus archivos están encriptados, la contraseña ya no estará en su computadora (puede ser recuperable si descubre el virus mientras aún está encriptando sus archivos, ya que estará en la memoria).

También he visto un ransomware que cifra la contraseña a la clave pública del atacante y luego le pide al usuario que incluya esa contraseña cifrada (que no puede decodificar) en un correo electrónico que solicita los archivos (la contraseña, en realidad).

Y finalmente, hay enfoques mixtos en los que la contraseña se envía al atacante, pero también se incluye (cifrada en una clave pública) dentro de cada archivo cifrado (en caso de que pierda el control del servidor C & C, probablemente).

Por no mencionar los casos en los que su computadora está comprometida y puede ser controlada de forma remota (por ejemplo, dejó abierto el Escritorio remoto con una contraseña débil), y el atacante inicia el proceso de encriptación de forma semi-manual, en cuyo caso tiene el La mayor flexibilidad y podría establecer lo que quieran.

    
respondido por el Ángel 10.08.2015 - 15:22
fuente

Lea otras preguntas en las etiquetas