RSA 2048 Ransomware

时间:2014-03-26 01:50:59

标签: encryption rsa malware dpapi

这是我的第一篇文章!这就是事情。 CryptoDefense(Cryptolocker的竞争对手)于今年2月底席卷了互联网。由于它在所有加密的文件夹中生成文本文件,因此我甚至计划using the first text file's timestamp to brute-force its PRNG生成密钥并在计算上可管理的时间内。

现在发生的事情是我最近发现了它private RSA key is stored on Windows Key Store,我能够看到它的第一个字符。其余似乎通过DPAPI(Microsoft的Data Protection API)得到保护。我的问题是:我如何解密DPAPI?而另一个是: 有没有办法用这些信息重建私钥?

1 个答案:

答案 0 :(得分:0)

这可以通过使用dpapick(一种用于离线解密DPAPI数据的Python工具)完成(通过一些工作)。您将需要用户的密码,但其余的将为您完成。 v0.3中添加了证书处理。这假设恶意软件没有添加额外的“盐”(额外的秘密),但由于它似乎是一个偶然的特征,我怀疑情况并非如此......