また、こういったエンジニアが本気になれば銀行や証券会社のSSL通信も解除できるのでしょうか?この記事を見ていて心強い反面不安になりました。
https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx
Avast の復号化ツールのページから引用。
CryptoMix (オフライン)
CryptoMix (別名: CryptFile2 または Zeta) は 2016 年 3 月に初めて確認された形態のランサムウェア ウイルスです。2017 年始めには、CryptoMix の変種である CryptoShield が出現しました。この 2 つの変種では、リモート サーバーからダウンロードされるユニークな暗号化キーによって AES256 暗号化が使用され、ファイルの暗号化が実行されます。ただし、サーバーが利用できないかまたはユーザーがインターネットに接続していない場合、このランサムウェアでは固定キー (「オフライン キー」) によるファイルの暗号化が実行されます。
重要:提供される復号ツールがサポートしているのは、「オフライン キー」で暗号化されたファイルのみです。ファイルの暗号化にオフライン キーが使用されたのではない場合、弊社のツールではファイルの復元は実行できず、いかなるファイルの変更も行われません。 無料ランサムウェア復号ツール | ファイルのロックを解除 | Avast
赤字が鍵になります。
感染したPC 上で暗号化を行うわけだから、そいつが暗号化するためのキーを持っていることは想像に難くない。
暗号化のルーチンも自前で組んでいるのではなく Windows の API を使うのでしょう。
Windows でアセンブラを読める人なら、Windows の API を呼び出しているポイントを探ってそのパラメータをたどれば鍵にたどり着けそう。
256ビットの鍵をゼロから探り出すことに比べると難易度はかなり低い。
攻撃をかける側も、鍵を埋め込んでいても素直に暗号化のAPI に渡すのではなく色々な処理を入れたり、ダミーの処理を入れたりというように分かりにくくする工夫はいくらでもできるので、復号プログラムを作れたり作れなかったりということになります。
# 初期の頃のやつは暗号化が単純ということかな