Funciones usadas para el Proceso criptográfico de infección
- Cada infección genera un nuevo par de llaves RSA-2048.
- La clave pública se exporta como blob y se guarda en 00000000.pky.
- La clave privada se cifra con la clave pública ransomware y se guarda como 00000000.key
- Cada archivo se cifra usando AES-128-CBC, con una clave AES única por archivo.
- Cada clave AES se genera con la función CryptGenRandom.
Donde la función CryptGenRandom llena un búfer con bytes criptográficos y los datos producidos por esta función son criptográficamente aleatorios. Es mucho más aleatorio que los datos creados por el generador de números aleatorios típicos, como el que se usa en un compilador de C.
--- Para clientes ---Windows XP (solo aplicaciones de desktop)
--- Para Servidores --- Windows Servers 2003 (solo aplicaciones de desktop)
Cabe mencionar tambien que existen otras funciones que pueden ser usadas para
tal fin:
CryptAcquireContext CryptGenKey CryptSetKeyParam
- La clave AES se cifra utilizando el par de claves RSA específico de la infección.
Cebe señalar que la llave pública RSA utilizada para cifrar la clave privada de RSA de infección se incrusta dentro de la DLL y es autoría de los creadores del Ransomware.
Saludos ---> Share NOta
No hay comentarios:
Publicar un comentario