披露：我为参与 NoMoreRansom 的供应商之一工作。

大多数现代勒索软件确实实现了适当的加密。早期版本rand()用于密钥生成，为随机生成器植入变体time()——这就是为什么成功解密知道感染发生的时间很重要的原因；最好是几分钟。那些可以用蛮力解密。但大多数现代勒索软件确实使用 Windows Crypto API 或捆绑的加密库。

然而，无论勒索软件实施得多么正确，总有一个弱点——为了便于解密，密钥必须存储在某个地方。这个位置可以被安全公司追踪，他们将与执法部门合作接管它。访问服务器使安全公司能够解密勒索软件受害者文件。例如 GangCrab 勒索软件就是这种情况。

这只是一个成本/收益问题。勒索软件开发人员通常不希望构建一个包含所有相关审查的安全工具。他们只想要更便宜的工具，让他们获得比成本更多的钱。当然，它们可能是易碎的，但谁在乎呢？如果第一批受害者中的一些人已经支付了他们被要求的费用，那么攻击者得到的钱比他们花的钱多得多。此外，您使用的时间越长，如果政府安全机构设法发挥作用，被抓住的风险就越大。

许多现实生活中的小偷在设法进入一个随机的房子时或多或少都会做的事情：在最短的时间内拿走最有价值的东西然后离开。

有针对性的攻击在现实生活和 IT 世界中都是不同的。如果要攻击银行或珠宝店，收益预计会很高，需要花费大量的准备时间。同样，当政府部门攻击战略目标时，他们将使用更高质量的工具。但它很少用于随机目标。

显而易见的答案是，没有犯罪分子愿意与受害者如此直接地互动。

“将加密的 RSA 私钥发送给攻击者”

需要一致的接触点。

在当前模型中，所有通信都是单向且可替代的：

• 恶意软件显示一个屏幕，指示受害者存入比特币（没有直接联系）
• 犯罪分子监控存款并使用密钥发送电子邮件（通信是自动化的，并且来自任何一次性中介的单向）

当前的模型运行良好，它是全球最大的威胁之一。总是有改进系统的方法，但如果它没有被破坏，那有什么好处呢？

坦率地说，实现良好的文件加密和解密是相当棘手的，即使使用一个应该为你做的库。我试图修改一个最初使用非常基本的位移技术的密码器（旨在混淆病毒以隐藏其签名），但它并没有很好地工作，因为大多数防病毒程序会从字面上暴力破解二进制文件并且可以意识到它原来是病毒！我想通过我过去成功用于字符串的 C# 库使用 AES 加密来替换位移位“加密”，如果你甚至可以这样称呼它，但我永远无法让它工作。另一个问题是，您的加密算法越复杂，扫描整个磁盘所需的时间就越长，然后在付款时/如果他们付款时最后解密。它'

在勒索软件真正流行并变得更好之前，我曾经在我祖母的电脑上看到过一个勒索软件程序，据说它加密了她的文件并需要大约 200 美元来解密它们。它实际上所做的只是将扩展名“.crypted”添加到每个文件的末尾，因此 Windows 不知道使用什么程序来打开它们中的任何一个！一旦我弄清楚了，所有需要做的就是使用任务管理器来定位并删除原始勒索软件文件，然后编写一个批处理脚本来递归检查系统上的每个文件是否有 .crypted 扩展名，如果存在就将其删除。问题在一小时内解决，根本没有向黑客支付任何费用！但如果他们使用了 AES，这种技术根本就行不通，

不同之处在于，使用第一种重命名文件扩展名以使 windows 无法打开任何文件的人可能已经感染了数百次，当使用军用级加密的人甚至完成了他的病毒时，还有 5% 的人聪明到可以解决第一个问题的人可能也足够聪明，不会被第二个感染。其他 95% 的人除了支付赎金之外无法找到任何方法来修复这两种病毒，他们可能是第一次支付（支付给拥有容易破解的勒索软件的人），然后立即设置完整的备份解决方案以防止它再次发生。如果他们后来被军用级勒索软件感染，他们已经吸取了一次教训，刚刚从备份中恢复。希望即使是那些没有

从这个场景中，您可以看到拥有易破解勒索软件的人如何首先释放它，即使防病毒程序在解密之前设法删除了病毒，它的作用也更快，更可靠，更容易逆转，正因为如此，他将比花费大量时间设置完全防弹的勒索软件病毒的人赚更多的钱，但在人们开始明智并备份他们的重要文件之后才进入市场。