暗号化の前後に2つのバージョンのファイルがある場合、ランサムウェア暗号化を解読することはできますか?そのようなことのためのツールはありますか?
プロセスを支援するツールが世の中にあると私は確信していますが、頭のてっぺんからは何も思いつきません。
暗号化を解除するために使用する「攻撃」は、同じファイルの暗号化されていない(プレーンテキスト)バージョンと暗号化された(暗号テキスト)バージョンがあるため、既知のプレーンテキスト攻撃です。平文を変更して再暗号化できれば、プロセスを選択された平文攻撃に変えることができます。ランサムウェアによっては、毎回同じ暗号化手法を使用しない場合があります。
ある状態から別の状態に移行するための手順を知るには、使用されている暗号化を理解するか、解読する必要があります。シュローダーが言ったように、これは非常に難しいことです。そのためには、何百万もの処理コア時間が必要になる可能性があります。
ransomware
という用語は、悪意のあるソフトウェアのクラス全体に適用され、単一のアルゴリズムを使用する単一のエンティティからのコードではないことを考えると、何も可能ですが可能性はほとんどありません。
あなたが説明するシナリオは既知の平文攻撃と呼ばれ、第二次世界大戦(1940年代)時代の暗号を破るのに役立ちましたが、それは現代の暗号が防御するために特別に設計されたものです。平文と暗号文を使用してブルートフォースよりも速く攻撃できる最新の暗号は、壊れていると見なされます。
https://en.wikipedia.org/wiki/Known-plaintext_attack
したがって、作成者がAESを適切に実装した場合、平文の暗号解読の影響は受けません。マルウェアの作者がひどく無能だった可能性がありますが、私はそれを疑っています。
ランサムウェアの開発者が暗号を誤って使用した場合、または他の実装エラーを行った場合は、回復を行う人にとって大きなメリットがある可能性があります。 1つの例は torrentlocker で、すべてのファイルに同じキーを持つストリーム暗号を使用しました。これにより、元のファイルのコピーが1つあれば、すべてのファイルを回復できるため、マルウェアからの回復が非常に簡単になりました。
実際に感染している場合は、問題の特定のランサムウェアに関する同様のブログ投稿をいくつか検索してみてください。開発者は常に暗号の誤りを犯します。それはマルウェアの開発者にも起こります。
JekWaの回答に加えて、一部のランサムウェア(CryptoLockerなど)が独自のランダム対称キーを使用して各ファイルを暗号化することを考慮することが重要です。
この対称ファイル暗号化キーは、一意の(被害者ごとに)RSA公開キーで暗号化され、暗号化ファイルと共に保存されます。したがって、RSA秘密鍵の代金を支払った場合にのみ、ファイルを実際に回復できます。
この場合、特定のファイルのキーを理解しても、他のファイルについてはまったく役に立ちません。実際、ランサムウェアはおそらくこのように動作して、この種の反撃を打ち破ります。したがって、実際に使用できる唯一の手段は、RSA公開鍵の係数を因数分解することです。これは(実際には)不可能です。