lunes, 14 de agosto de 2017

Wannacry Ransomware proceso criptográfico.

https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcRCkT6jeZ4VSIR3YMLcBLO4hGTcdo4TCwWobBHCaD6VbyvDMFXI

Funciones usadas para el Proceso criptográfico de infección
  • Cada infección genera un nuevo par de llaves RSA-2048.
  • La clave pública se exporta como blob y se guarda en 00000000.pky.
  • La clave privada se cifra con la clave pública ransomware y se guarda como 00000000.key
  • Cada archivo se cifra usando AES-128-CBC, con una clave AES única por archivo.
  • Cada clave AES se genera con la función CryptGenRandom.

    Donde la función CryptGenRandom llena un búfer con bytes criptográficos y los datos producidos por esta función son criptográficamente aleatorios. Es mucho más aleatorio que los datos creados por el generador de números aleatorios típicos, como el que se usa en un compilador de C.
     
Para poder usar esta función se requiere como mínimo:
--- Para clientes ---Windows XP (solo aplicaciones de desktop)

--- Para Servidores --- Windows Servers 2003 (solo aplicaciones de desktop)

 Cabe mencionar tambien que existen otras funciones que pueden ser usadas para 
tal fin:

 CryptAcquireContext   CryptGenKey   CryptSetKeyParam
  • La clave AES se cifra utilizando el par de claves RSA específico de la infección.
Cebe señalar que la llave pública RSA utilizada para cifrar la clave privada de RSA de infección se incrusta dentro de la DLL y es autoría de los creadores del Ransomware. 

Saludos ---> Share NOta


Li. Rodolfo Hernandez Baz www.rodolfohbaz.net



en
Etiquetas: , , , , , , , , , , , , , , , , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Crowdstrike -> Solución de errores de actualización de CrowdStrike con BitLocker habilitado

En este pequeño articulo ver como componer el problema de CROWDSTRIKE cuando esta habilitado el BITLOCKER, cabe resaltar que puede ser una e...