Skip to main content

Bin Extrakce Šifrovacího klíče

Bin Extrakce Šifrovacího klíče

U některých typů Ramsomware je možné získat šifrovací klíč na stroji na kterém je ramsomware process stále v běhu a to několika metodami. První metodou je dekompilace ramsomware binárního souboru za pomoci zpětného inženýringu. S pomocí vhodného software, v našem případě použijeme software dnSpy. 

dnSpy

Read more

Jak je na obrázku patrné zdroják se skládá z vícero souborů, než jenom jednoho a nedílnou součásti ramsomware bývá i konfigurační soubor (podle vzorků na gitu a podobně). Je možné, že je v binárce hardcodovaný i klíč s jehož pomocí následně můžeme decryptaci provést.

Nejprve bu pravděpodobně nutné identifikovat ransomware process, tento postup naleznete v tomto článku na blogu.

Pokračovat ve čtení

Identifikace Ramsomware procesu

Identifikace Ramsomware processu.

Tuto metodu volíme v takové fázi, ve které již máme jednoznačně identifikovaného člena sítě z kterého probíhal útok a máme ho izolovaného od ostatních prvků sítě. Na kterých již můžeme pracovat na obnově škod.

Identifikace vlastně není nic jiného než pouze nalezení procesu v process manageru

WannaCry Process

Proč to chceme? Existuje metoda, otisku paměti pro danný proces. Jestliže tedy provedu Memory dump na danný process mám vše co obsahuje a má uloženo v operační paměti a z této části jsme schopni při troše štěstí schopni provést extraxci klíče v případě, že se v paměti nachází a hlavně víme-li jak ji nalézt.

Pokračovat ve čtení