Apoi, cheia privată a acelei chei RSA este criptată cu o cheie publică încorporată în ransomware. Această cheie este unică pentru fiecare atac/victimă.
Cred că aici apare confuzia. Cu siguranță nu asta citează descrierea de pe site-ul pe care îl specificați:
Criptarea se bazează pe doi algoritmi: RSA și AES. În primul rând, o pereche de chei de sesiune RSA este generată pe stațiile de lucru infectate. Această pereche de chei este criptată folosind cheia publică încorporată a atacatorului și salvat în registru SOFTWARE\LockBit\full
.
„Cheia publică încorporată a atacatorilor” este probabil o cheie publică care este deținută de atacator și care este încorporată în software. Cheia privată a acelei perechi de chei este păstrată undeva în siguranță de către atacator.
Deci, cred că aceasta este doar o neînțelegere. Software-ul ar putea conține, desigur, o serie întreagă de chei publice pre-generate, dar este mai logic să generezi o pereche de chei la nivel local și apoi să trimiți înapoi cheia de sesiune privată criptată (ori de câte ori victima decide să plătească).
Dezavantajul este - desigur - că dacă victima poate recupera cumva cheia privată, totul este degeaba - în ochii atacatorului. Cu toate acestea, dacă perechea de chei poate fi păstrată în memorie și distrusă direct după generarea/criptarea perechii de chei, atunci atacatorul își păstrează avantajul.
Acum, pentru a vă recupera datele, victima sau software-ul trimite atacatorului cheia privată criptată „lor”, atacatorul le poate decripta și trimite înapoi valoarea textului simplu.
Rețineți că pentru RSA cheia privată RSA poate fi criptată direct după generare, deoarece veți avea nevoie doar de cheia publică pentru criptare. O cheie AES ar trebui să fie prezentă în timpul operațiunilor de criptare. Deci, a avea o cheie asimetrică separată are sens pentru atacator.