Clés de chiffrement Ransomware
Où le ransomware tel que la récente variante wannacry stocke-t-il la clé qu'il utilise pour crypter les fichiers sur le disque de la victime?
Est-ce codé en dur dans le programme lui-même? Ou appelle-t-il un serveur pour obtenir une clé? Si l'un de ces cas est le cas, l'application pourrait faire l'objet d'une ingénierie inverse ou de trafic pour obtenir la clé et décrypter les fichiers, alors pourquoi ce n'est pas le cas? Ou le virus génère-t-il une clé par infection?
Toutes les implémentations de ransomwares sont différentes, mais pour la plupart, les variantes particulièrement stupides qui ont fait des choses comme utiliser une clé codée en dur, ou utilisé des méthodes de génération de clés facilement devinables ou reproductibles ont été éliminées et remplacées par des variantes beaucoup plus fortes.
Pour le wannacry en particulier, chaque infection crée une nouvelle paire de clés RSA sur la machine infectée. La clé privée de cette paire est ensuite chiffrée avec une clé publique fournie avec le malware, qui fait partie d'une paire de clés appartenant à l'auteur de wannacry.
La nouvelle clé publique spécifique à l'infection est ensuite utilisée pour chiffrer les clés AES, qui sont générées à l'aide d'un CSPRNG, et une nouvelle clé AES est générée pour chaque fichier chiffré.
Vraisemblablement une fois que vous avez payé la rançon, les auteurs de logiciels malveillants utiliseront ensuite leur clé privée (l'autre moitié de la paire de clés de la clé publique codée en dur dans le logiciel malveillant) pour déchiffrer votre clé privée, que l'outil de déchiffrement peut ensuite utiliser pour déchiffrer le Clés AES, et à leur tour les fichiers.