匿名質問者
匿名質問者匿名質問者とは「匿名質問」を利用して質問した質問者。
「匿名質問」では、ユーザー名を公開せずに匿名の質問ができます。
詳しくはこちら

無料でで公開されているランサムウェア ファイル復号ツールがいろいろありますが、これらはどのような仕組みで暗号化されて物を解除するのでしょうか?

また、こういったエンジニアが本気になれば銀行や証券会社のSSL通信も解除できるのでしょうか?この記事を見ていて心強い反面不安になりました。
https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx

回答の条件
  • 1人5回まで
  • 13歳以上
  • 登録:2017/05/16 11:33:37
  • 終了:2017/05/23 11:35:03

回答(2件)

匿名回答1号 No.1

匿名回答1号「匿名質問」を利用した質問に回答すると「匿名回答○号」と匿名で表示されます。
「匿名質問」では、ユーザー名を公開せずに匿名の質問ができます。
詳しくはこちら
2017/05/16 14:55:50

Avast の復号化ツールのページから引用。

CryptoMix (オフライン)



CryptoMix (別名: CryptFile2 または Zeta) は 2016 年 3 月に初めて確認された形態のランサムウェア ウイルスです。2017 年始めには、CryptoMix の変種である CryptoShield が出現しました。この 2 つの変種では、リモート サーバーからダウンロードされるユニークな暗号化キーによって AES256 暗号化が使用され、ファイルの暗号化が実行されます。ただし、サーバーが利用できないかまたはユーザーがインターネットに接続していない場合、このランサムウェアでは固定キー (「オフライン キー」) によるファイルの暗号化が実行されます。

重要:提供される復号ツールがサポートしているのは、「オフライン キー」で暗号化されたファイルのみです。ファイルの暗号化にオフライン キーが使用されたのではない場合、弊社のツールではファイルの復元は実行できず、いかなるファイルの変更も行われません。 無料ランサムウェア復号ツール | ファイルのロックを解除 | Avast

赤字が鍵になります。
感染したPC 上で暗号化を行うわけだから、そいつが暗号化するためのキーを持っていることは想像に難くない。
暗号化のルーチンも自前で組んでいるのではなく Windows の API を使うのでしょう。
Windows でアセンブラを読める人なら、Windows の API を呼び出しているポイントを探ってそのパラメータをたどれば鍵にたどり着けそう。
256ビットの鍵をゼロから探り出すことに比べると難易度はかなり低い。

攻撃をかける側も、鍵を埋め込んでいても素直に暗号化のAPI に渡すのではなく色々な処理を入れたり、ダミーの処理を入れたりというように分かりにくくする工夫はいくらでもできるので、復号プログラムを作れたり作れなかったりということになります。
# 初期の頃のやつは暗号化が単純ということかな

匿名回答2号 No.2

匿名回答2号「匿名質問」を利用した質問に回答すると「匿名回答○号」と匿名で表示されます。
「匿名質問」では、ユーザー名を公開せずに匿名の質問ができます。
詳しくはこちら
2017/05/17 10:32:15

こういう例もある。

ESET、ランサムウェア「TeslaCrypt」の復号鍵を開発者より入手、復号ツールを公開
http://internet.watch.impress.co.jp/docs/news/758386.html

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません