WANNACRY病毒中的加密技术分析

WANNACRY病毒中的加密技术分析

2019/11/6 16:56:46

---

分析WANNACRY病毒中的加解密技术的应用。分析内容包括但不限于：对称密码技术和公钥密码技术的作用；受害者支付赎金后就会恢复文件吗，为什么？

影子经纪人” (Shadow Brokers)攻破了NSA（美国国家安全局）网络，拿到其中一个叫“方程式”的黑客组织的大量军用级别黑客工具，ShadowBrokers将其中一个黑客工具做成“永恒之蓝”，而这次的勒索软件正是“永恒之蓝”的变种。然后这一勒索软件就是WannaCry病毒，WannaCry采用了比较规范的对称加密（AES)与非对称加密（RSA)结合的方式,在病毒体内存一个RSA的公钥，并秘密生成一个RSA私钥，然后等到感染病毒后，病毒会生成自己的一堆私钥和公钥，然后，私钥会被勒索者公钥加密并保存为PKY文件（用来保存资料的数据库文件），然后受害者的每一个文件都会被128bit的AES加密，这个AES的秘钥被加密后置于文件头。目的在于，勒索者可以为每个受害者单独提供解密服务，任何一台主机的解密数据服务，不会对其它主机的解密造成影响，从而保证勒索者可以按主机收取费用，在恶意软件中，犯罪分子只是将三个比特币钱包地址硬编码在了程序中，用以接受支付的赎金，但并没有任何验证支付状态并进行解密的程序。也就是说，犯罪分子需要手动地从接收比特币赎金的账户中验证用户的身份信息，自己找到需要恢复的计算机然后进行解密。由于受害者的计算机数量已超过数十万，期望犯罪分子能够遵守约定，依靠手动识别受害者是否支付赎金，然后进行恢复操作的可能性已经是很低的了。