AES-128 Encryption Employé par Locky Ransomware - Comment, Forum sur la sécurité PC et la technologie | SensorsTechForum.com
Suppression des menaces

AES-128 Encryption Employé par Locky Ransomware

1 Star2 Stars3 Stars4 Stars5 Stars (Pas encore d'évaluation)
Loading ...

shutterstock_271501652Locky est ransomware l'un des derniers, ajouts les plus dévastateurs à la catégorie des logiciels malveillants ransomware. Locky utilise l'algorithme RSA mélangé avec AES-128 chiffrements, comme indiqué dans sa demande de rançon. La combinaison crée un cryptage très forte.

Nous avons déjà analysé les algorithmes RSA:

AES Encryption Description générale

AES signifie Advanced Encryption Standard (AES). Il est un algorithme de chiffrement symétrique. Le nom d'origine de l'algorithme est Rijndael, sur la base des noms des deux cryptographes belges qui ont développé AES - Joan Daemen et Vincent Rijmen. Rijndael est une famille de chiffrements.

L'AES lui-même est une spécification pour le cryptage des données électroniques mis en place par l'Institut national américain des normes et de la technologie (NIST) à 2001. L'Institut a sélectionné trois chiffrements 128 bits de la famille Rijndael pour la norme AES. Cependant, chacun des trois a différentes longueurs de clés - 128, 192 et 256 (via Wikipedia).

L'AES est un chiffrement qui est largement utilisée dans diverses applications commerciales. Cependant, crypto-malware a découvert un moyen de tirer profit de celui-ci et l'utiliser contre les utilisateurs de PC.

Ransomware et AES Encryption

De nombreuses pièces ransomware ont employé AES, dans certains cas, combinée à un autre type d'algorithme de chiffrement (tel que RSA):

Ransomware de chiffrement de Locky en détail
Dans le cas de ransomware Locky, un mélange de l'algorithme RSA et AES-128 a été utilisé chiffrements, ce qui rend le processus de décryptage très difficile. les chercheurs de logiciels malveillants cherchent actuellement les moyens de battre le cryptage Locky et aider ses victimes récupérer leurs fichiers.

Des chercheurs de Palo Alto juste a révélé que Locky ransomware nécessite une communication avec une commande & serveur de contrôle pour un échange de clé ait lieu, avant que le processus de chiffrement a commencé. L'échange de clé est réalisée dans la mémoire - une caractéristique unique, comme la plupart des pièces ransomware génèrent la clé de chiffrement au niveau local et au hasard sur la machine de la victime, puis l'envoyer à l'infrastructure des attaquants.

Cette caractéristique unique montre également que les créateurs de locky ont employé une stratégie d'atténuation en perturbant commande associée & serveurs de contrôle.

En outre, Locky change les noms de fichiers entièrement. Un fichier crypté par Locky ressemble à ça:

&rarr0AC07E962F87084DA6793732FA3D31B4.locky

Au cours du processus de cryptage, l'ransomware utilise l'algorithme AES et ne crypter des fichiers correspondant à ces extensions:

→.milieu, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .Floride, .swf, .wav, .qcow2, .VDI, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .derrière, .prend, .tgz, .rar, .fermeture éclair, .djv, .djvu, .svg, .bmp, .png, .gif, .brut, .cgm, .jpeg, .jpg, .tif, .querelle, .NEF, .psd, .cmd, .chauve souris, .classe, .bocal, .Java, .aspic, .brda, .sch, .DCH, .tremper, .vbs, .pers, .pas, .cpp, .php, .LDF, .mdf, .IBD, .VENDU, .MYD, .frm, .ODB, .dbf, .CIS, .sql, .SQLITEDB, .sqlite3, .asc, .lay6, .allonger, .ms11 (copie de sécurité), .SLDM, .sldx, .PPSM, .ppsx, .PPAM, .docb, .mml, .sxm, .OTG, .réponse, .uop, .potx, .sentiers, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .elle, .OTP, .Répondre, .semaines, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .ch, ..xlw, .XLT, .xlm, .XLC, .dif, .stc, .sxc, .ots, .paragraphe, .rempli, .DOTM, .dotx, .docm, .docx, .POINT, .max, .xml, .sms, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .là, .odt, .DOC, .pem, .rse, .crt, .clé, wallet.dat

Comme nous l'avons déjà dit, pour l'instant décryptage des fichiers cryptés par Locky est pas possible. Cependant…

Assurez-vous d'en savoir plus sur Les méthodes de locky et les détails techniques.

Aussi, si vous avez été infecté par Locky ransomware, assurez-vous de le supprimer de votre système via un logiciel anti-malware.

donload_now_250
Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter

avatar

Milena Dimitrova

Un écrivain inspiré et gestionnaire de contenu qui a été avec SensorsTechForum pour 4 ans. Bénéficie d' « M.. Robot » et les craintes de 1984 '. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles!

Plus de messages

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...