Сообщение от SBJoker
Включаем логику:
1. если они могут расшифровать любой файл, без дополнительных данных - ключ в файле, или ключ у них один на всех. (второй вариант маловероятен).
2. если ключ в файле, то надо думать что создатели не идиоты и тут не хватает "соли" или "перца", неважно, главное у нас есть только часть ключа.
3. Если расшифровщик не поставляется в комплекте, у нас нет возможности теоритически прослушать трафик к нему с инструкциями.
4. с 99,99% вероятностью, восстановить не удастся.
5. в теле оригинального шифровальщика лежит вторая половина ключа и сам алгоритм. Алгоритм наверняка симметричный. Т.е. если слегка пропатчить файл вероятно возможно заставить его расшифровывать всё обратно.
|
1-2. Могут быть два ключа: для шифрации и дешифрации. Оба могут сгенерироваться на сервере по запросу трояна на машине жертвы. Ключ для шифрации отправляется на шифратор жертвы. Ключ для дешифрации остаётся на сервере и теоретически его никак нельзя узнать. В файл может добавиться GUID по которому на сервере можно узнать оба ключа. То что в эти 100 байт добавляется ключ это только одна из версий, и если бы я делал шифратор я бы не стал прописывать ключ прямо в файле. И исходя из названия RSA-3072 ключ должен быть длиной 384 байта, что не может уместиться в 100 байт, а вот GUID длиной 16 байт может. Так что ключ в файле только одна из версий, и даже если так то вытащить его от туда будет возможно только если раздизассемблировать шифратор и узнать как он размещает этот ключ. И вообще его надо раздизассемблировать чтобы узнать ключ это или нет.
3. В комплекте не поставляется. Но алгоритм шифрации скорее всего открытый, потому что они наиболее надёжные. Поэтому написать дешифратор я думаю можно самому. Я писал AES-256 -- доков в инете очень много.
4. Почему? Если на HDD после заражения ничего не писали то можно восстановить больше 90% информации. Расшифровать -- маловероятно, восстановить стёртое -- очень даже можно. Это скорее всего самый вероятный вариант.
5. По версии с сервером второго ключа там нет.