“勒索软件”如何运作?

信息安全 恶意软件 勒索软件
2021-09-07 18:13:14

所以我想知道勒索软件文件是如何工作的。

我知道勒索软件会使用 AES-256 加密所有文件以提高速度,但 RSA 是从哪里来的?显然 RSA 加密文件的速度很慢,所以它先使用 AES-256,然后再使用 RSA?有人可以向我解释吗?

此外,RSA 密钥是否来自犯罪分子 C&C 的锁定 AES 密钥的服务器?如果是这种情况,AES 密钥不应该是可恢复的吗?

如果任何人有可能给我一个关于勒索软件通常如何加密文件的完整纲要,那就太好了。

谢谢

3个回答

这实际上取决于勒索软件的开发者。勒索软件本身只是要求付款以从您的计算机中删除的恶意软件。影响受害者支付技术费用,例如阻止或使特定任务变得更加困难。

解锁代码将只是一个加密公钥/私钥。因此,受害者将只有公钥,所有者将拥有私钥,该私钥将在受害者付款时提供,以从机器中释放恶意软件。您不需要为私钥运行网站,因为无论提示用户付款什么都会暴露公钥。因此,所有者可以拥有与该公钥一起使用的私钥。

Wiki - 公钥密码学

维基 - 勒索软件

混合加密。

他们使用混合密码系统总体思路是这样的:

  • 生成随机 AES 密钥。
  • 使用该 AES 密钥进行批量加密。
  • 使用内置的公共 RSA 密钥加密 AES 密钥。
  • 从磁盘中删除 AES 密钥。
  • 在赎金记录中向用户显示 RSA 加密的 AES 密钥。

这是一篇很好的博文,深入了解:

关于勒索软件,最重要的是要记住创建者的目的是让受害者支付赎金。从这个角度来看,重要的是要注意至少有三类勒索软件:

  1. 典型的勒索软件,它加密文件,如果受害者付费,他们会收到密钥或解密工具并可以恢复文件;
  2. 加密、破坏或替换文件的勒索软件,即使受害者付费,他们也永远不会收到他们的数据(2016 年的一项研究估计,20% 的付费者不会取回他们的数据);
  3. 储物柜,不加密文件,但通过拒绝访问桌面、Windows 资源管理器、任务管理器和其他应用程序来阻止人们使用他们的计算机,除非他们支付赎金。

关于由许多勒索软件变体执行的文件加密,它们通常使用对称密钥加密的组合,这种加密速度很快(例如 AES、DES)和非对称密钥加密(例如 RSA)。

对称密钥通常是动态生成的,在加密过程中存在于勒索软件可执行文件的内存中。非对称公钥用于加密对称密钥,通常按照勒索相关文件中的步骤将结果传达给勒索软件的创建者。

许多勒索软件使用 Windows 的 CryptoAPI 库,但也有一些变体将加密算法嵌入到恶意软件代码中(这些算法有许多不同开发语言的实现,公开可用)。