ランサムウェア暗号化キー
最近のwannacryバリアントなどのランサムウェアは、被害者のディスク上のファイルを暗号化するために使用するキーをどこに保存しますか?
これはプログラム自体にハードコードされていますか?または、キーを取得するためにサーバーを呼び出しますか?これらのいずれかが当てはまる場合、アプリケーションをリバースエンジニアリングしたり、トラフィックを盗聴してキーを取得したり、ファイルを復号化したりできますが、なぜそうではないのですか?または、ウイルスは感染ごとにキーを生成しますか?
すべてのランサムウェアの実装は異なりますが、ほとんどの場合、ハードコードされたキーを使用する、または推測や再現が容易なキー生成方法を使用するなどの特に愚かな亜種は取り除かれ、はるかに強力な亜種に置き換えられました。
具体的には、感染するたびに、感染しているマシン上に新しいRSAキーペアが作成されます。このペアの秘密鍵は、マルウェアに同梱されている公開鍵で暗号化されます。これは、wannacry作成者が所有する鍵ペアの一部です。
次に、新しい感染固有の公開鍵を使用して、CSPRNGを使用して生成されたAES鍵を暗号化し、暗号化されたファイルごとに新しいAES鍵を生成します。
おそらく身代金を支払うと、マルウェアの作成者は秘密鍵(マルウェアにハードコードされた公開鍵への鍵ペアの残りの半分)を使用して秘密鍵を復号化し、復号化ツールはこれを使用して、 AESキー、次にファイル。