「ランサムウェア」はどのように機能しますか?
だから私はランサムウェアのファイルがどのように機能するのか疑問に思っています。
ランサムウェアがすべてのファイルをAES-256で暗号化して高速化していることを知っていますが、RSAはどこから入りますか?どうやらRSAはファイルの暗号化が遅いので、最初にAES-256を使用してからRSAを使用しますか?誰かが私にそれを説明できますか?
また、RSAキーは、AESキーをロックする犯罪者のC&Cのサーバーからのものですか?これが事実である場合、AESキーは回復可能ではありませんか?
ランサムウェアがファイルを暗号化する際に通常どのように機能するかについて完全な概要を誰かに教えてもらえれば、それは素晴らしいことです。
ありがとう
それは本当にランサムウェアの開発者に依存します。ランサムウェア自体は、お使いのコンピューターから削除するために支払いを要求するマルウェアにすぎません。被害者に影響を与えて、特定の作業の防止や困難化などのテクニックを支払う。
ロック解除コードは、暗号化の公開/秘密鍵になります。したがって、被害者は公開鍵のみを持ち、所有者は被害者の支払い時に提供される秘密鍵を持ち、マシンからマルウェアを解放します。ユーザーに支払いを促すプロンプトは公開鍵を公開するだけなので、秘密鍵のWebサイトを実行する必要はありません。したがって、所有者は、その公開鍵と一緒に使用する秘密鍵を持つことができます。
ハイブリッド暗号化。
Hybrid Cryptosystem を使用します。一般的な考え方はこれです:
- ランダムなAESキーを生成します。
- バルク暗号化にそのAESキーを使用します。
- 組み込みの公開RSAキーでAESキーを暗号化します。
- ディスクからAESキーを削除します。
- 身代金ノートでユーザーにRSA暗号化AESキーを表示します。
これは、詳細な外観の素敵なブログ投稿です。
- 2016-01-24、 Adam(@cyberclues) 、MalwareClipboardブログ、 NanoLocker-ランサムウェア分析 (アーカイブ ここ 。)
ランサムウェアについて覚えておくべき最も重要なことは、作成者の目的は被害者に身代金を支払うことであるということです。この観点から、ランサムウェアには少なくとも3つのカテゴリがあるという事実に注意することが重要です。
- 典型的なランサムウェア。ファイルを暗号化し、被害者が支払う場合、キーまたは復号化ツールを受け取り、ファイルを回復できます。
- ファイルを暗号化、破壊、または置換するランサムウェア。被害者が支払いをしても、データを受け取ることはありません(2016年の調査では、支払った人の20%がデータを取り戻さないと推定されています)。
- ファイルを暗号化しませんが、身代金を支払わない限り、デスクトップ、Windowsエクスプローラー、タスクマネージャー、およびその他のアプリへのアクセスを拒否することで、コンピューターを使用できないようにするロッカー。
ランサムウェアの多くのバリアントによって実行されるファイル暗号化に関して、それらは通常、高速な対称鍵暗号化(AES、DESなど)と非対称鍵暗号化(RSAなど)の組み合わせを使用します。
対称鍵は通常動的に生成され、暗号化プロセス中に実行可能なランサムウェアのメモリに存在します。非対称公開鍵は対称鍵を暗号化するために使用され、結果は通常、ランサムウェア関連ファイルの手順に従ってランサムウェアの作成者に伝えられます。
多くのランサムウェアは、WindowsのCryptoAPIライブラリを使用していますが、マルウェアコードに暗号化アルゴリズムを埋め込むバリアントもあります(これらのアルゴリズムは、さまざまな開発言語で多くの実装が公開されています)。