Mi pregunta:¿Es posible copiar el contenido de la RAM al sistema de archivos? (ventanas)
Además, ¿es posible copiar el contenido de la RAM para un proceso específico?
Razón:
Esto gira en gran medida en torno a CryptoLocker (así como a malware similar) y hace posible recuperar datos rápidamente sin tener que pagar por la clave privada que utiliza.
Si bien CryptoLocker no almacena la clave privada en ninguna parte del sistema de archivos,es necesario mantenerlo en la memoriapara cifrar archivos continuamente. Entonces, dado que puede capturar un proceso activo de CryptoLocker, conocer la longitud de la clave privada y saber qué cifrado se utilizó, en teoría podría recorrer cada bit intentando descifrar un archivo (pequeño) específico.
Respuesta1
Volcar el contenido de la memoria no le ayudará en este caso si el software es vagamente inteligente en cuanto al uso adecuado de la criptografía de clave pública. Sin embargo, si necesita deshacerse de su memoria por la fuerza, hay una respuesta útil a esta pregunta:¿Cómo creo un volcado de memoria de mi computadora congelada o bloqueada?
La criptografía de clave pública hace uso decifrado asimétrico, donde la mitad de la clave se utiliza para cifrar un mensaje y usteddebeuse la otra mitad de la clave para descifrarla. No puede utilizar la misma mitad de la clave para descifrar un mensaje (o archivo) que se cifró con esa mitad de la clave.
Puede usar una clave pública para descifrar un mensaje creado con la clave privada, o usar la clave privada para descifrar un mensaje creado con la clave pública, pero no privado-privado o público-público.
Desde elWikipedia: Criptolockerpágina:
Cuando se ejecuta por primera vez, la carga útil se instala en la carpeta del perfil del usuario y agrega una clave al registro que hace que se ejecute al inicio. Luego intenta contactar con uno de varios servidores de comando y control designados; una vez conectado,el servidor genera un par de claves RSA de 2048 bits y envía la clave pública a la computadora infectada...
Luego, la carga útil cifra los archivos en los discos duros locales y en las unidades de red asignadas.con la clave publica.
Como solo tienes la mitad de la clave, todo lo que puedes hacer es cifrar mensajes (archivos). Necesita la otra parte de la clave para hacer lo necesario y recuperar sus archivos.
En este caso deshacerse del contenido de la memoria no te será útil, porque lo único que contiene es la forma de seguir empeorando las cosas.
Tu computadoranuncasostieneambospartes de la llave, excepto después de que se la haya entregado.
Para más detalles...
Un problema con la criptografía de clave pública es que, debido a los tamaños de clave más grandes, su uso es computacionalmente costoso en comparación con el cifrado de clave simétrica (reversible). Por esta razón, muchos sistemas utilizan criptografía de clave pública para intercambiar de forma segura una clave simétrica que luego se utiliza para comunicaciones posteriores con menores gastos generales.
En este caso, el uso de la clave simétrica más simple es innecesario y iría en contra del autor del malware. Si usaran una clave simétrica, entonces podría, como supone, simplemente forzar toda la memoria al disco y comenzar a frotar bloques de memoria en sus archivos cifrados hasta que se abran. Sin embargo, esto todavía llevará mucho tiempo y sospecho que no será factible dada la cantidad de memoria para verificar las claves. Al evitar una etapa clave simétrica, aumentan su impacto a costa de mayores requisitos computacionales.
Una vez que el malware ha comenzado, ya habrá perdido al menos algunos archivos y, al ser selectivos con respecto a los tipos y tamaños de archivos a los que apuntan, pueden causar el máximo daño con los recursos disponibles. Incluso las CPU modernas de menor potencia probablemente podrían cifrar una buena cantidad antes de que te des cuenta, incluso con el cifrado asimétrico más caro.
Al utilizar criptografía de clave pública, se aseguran de que ustednecesidadPídele que te dé la clave de desbloqueo. Sin que te lo den no hay nada que puedas hacer.