ランサムウェアの暗号化キーは、暗号化されたファイルと暗号化されていないファイルの比較から取得できますか?
会社には1000万のファイルがあり、すべてランサムウェアが暗号化されていますが、会社はそれらの1000万のファイルをすべてバックアップしており、ほとんどすべてが変更されていません。他のクラッキングアルゴリズムに加えて、それらすべてのファイルを暗号化されていないバックアップと比較すると、キーの発見に役立ちますか?
あなたが提案しているのは既知の平文攻撃であり、暗号化アルゴリズムが十分に悪い場合、使用される暗号に応じて、データの暗号化に使用される1つまたは複数のキーを発見するために使用される可能性があります。一部のランサムウェアはファイルごとに個別のキーを使用するので、キーと言います。
実際には、ランサムウェアの暗号化スキームに何らかの欠陥(弱い暗号、不十分な疑似ランダムデータソース、小さな鍵など)がないか、大規模な復号化コンピューティングリソースにアクセスできない場合、ひ孫はちょうどクラックされたファイルの1つを確認するためにライブ。
ランサムウェアが「良い」仕事をしているとすると、すべてのファイルはAES-GCMのようなもので暗号化されます。これは(執筆時点では) 既知の平文攻撃)に対して脆弱ではありません(既知 。
その場合、ファイルはあまり役に立ちませんが、ブルートフォースキーの正当性を確認するだけです。
また、ランサムウェアが「良い」仕事をしている場合、キーはマシンごとに異なるため、ブルートフォースキーを使用しても、同じランサムウェアによって別のマシンで暗号化された他のデータを取得することはできません。
実際には、そうではありません。暗号化は、Known Plaintextなどの方法でリバースするのが簡単であるようになってからずっと経ちました。キーストリームを取得するために暗号化されたバージョンに対して見つけることができる最大のファイルをXORするだけの問題ではありません。それは、最近の暗号化の仕組みではありません。ランサムウェアは、このような単純なソリューションの対象ではない、RSAなどの標準の強力な暗号化アルゴリズムを使用します。
彼らが過去数年間にどのように変化したかを確認することは、実際には非常に興味深いものです。
あなたができることは、元のファイルのサンプルを使用して、バックアップから復元する必要があるファイルを特定し、その結果、完全に失われて回復できない量を特定することです。各暗号化ウイルスの亜種には独自の署名があります。それらの中には、特定の方法でファイル名を変更するものや、破壊されたファイルを識別するために読み取ることができるヘッダーを持つものなどがあります。
そしてもちろん、バックアップの主な用途は、回復できるようにすることです。シャドウコピーに依存しないでください。最近のほとんどのランサムウェアは、シャドウコピーをプロセスの一部として削除します。参照として使用できる1日を通して複数のポイントを持つことは本当に役立ちます。