Minha pergunta:É possível copiar o conteúdo da RAM para o sistema de arquivos? (Janelas)
Além disso, é possível copiar o conteúdo da RAM para um processo específico?
Razão:
Isso gira em grande parte em torno do CryptoLocker (bem como de malware semelhante) e de tornar possível a recuperação rápida de dados sem ter que pagar pela chave privada que ele usa.
Embora o CryptoLocker não armazene a chave privada em nenhum lugar do sistema de arquivos,é preciso mantê-lo na memóriapara criptografar arquivos continuamente. Portanto, dado que você pode capturar um processo ativo do CryptoLocker, saber o comprimento da chave privada e qual criptografia foi usada, teoricamente você poderia percorrer cada bit tentando descriptografar um arquivo (pequeno) específico.
Responder1
Despejar o conteúdo da memória não o ajudará aqui se o software for, mesmo que vagamente, inteligente sobre o uso adequado da criptografia de chave pública. Se você precisar despejar sua memória à força, há uma resposta útil para esta pergunta:Como faço para criar um despejo de memória do congelamento ou travamento do meu computador?
A criptografia de chave pública faz uso decriptografia assimétrica, onde metade da chave é usada para criptografar uma mensagem e vocêdeveuse a outra metade da chave para descriptografá-la. Você não pode usar a mesma metade da chave para descriptografar uma mensagem (ou arquivo) que foi criptografada usando essa metade da chave.
Você pode usar uma chave pública para descriptografar uma mensagem feita com a chave privada ou usar a chave privada para descriptografar uma mensagem criada com a chave pública, mas não privada-privada ou público-pública.
DeWikipédia sobre criptolockerpágina:
Quando executada pela primeira vez, a carga se instala na pasta de perfil do usuário e adiciona uma chave ao registro que faz com que ela seja executada na inicialização. Em seguida, ele tenta contatar um dos vários servidores de comando e controle designados; uma vez conectado,o servidor gera um par de chaves RSA de 2.048 bits e envia a chave pública de volta ao computador infectado...
A carga então criptografa arquivos em discos rígidos locais e unidades de rede mapeadascom a chave pública.
Como você tem apenas metade da chave, tudo o que você pode fazer é criptografar mensagens (arquivos). Você precisa da outra parte da chave para fazer o necessário e recuperar seus arquivos.
Neste caso, despejar o conteúdo da memória não será útil para você, porque tudo o que ela contém é uma maneira de continuar piorando as coisas.
Seu computadornuncadetémambospartes da chave, exceto depois que você a tiver recebido.
Para elaborar mais...
Um problema com a criptografia de chave pública é que, devido aos tamanhos de chave maiores, seu uso é computacionalmente caro em comparação com a criptografia de chave simétrica (reversível). Por esta razão, muitos sistemas usam criptografia de chave pública para trocar com segurança uma chave simétrica que é então usada para comunicação adicional com custos menores.
Neste caso, porém, o uso da chave simétrica mais simples é desnecessário e funcionaria contra o autor do malware. Se eles usassem uma chave simétrica, você poderia, como você supõe, simplesmente forçar toda a memória para o disco e começar a esfregar blocos de memória em seus arquivos criptografados até que eles sejam abertos. Isso ainda vai demorar muito e suspeito que seria inviável dada a quantidade de memória para verificar as chaves. Ao evitar um estágio chave simétrico, eles aumentam seu impacto ao custo de requisitos computacionais mais elevados.
Depois que o malware for iniciado, você já terá perdido pelo menos alguns arquivos e, ao ser seletivo quanto aos tipos e tamanhos de arquivos que eles visam, eles podem causar danos máximos com os recursos disponíveis. CPUs modernas de menor consumo de energia provavelmente poderiam obter uma boa quantidade de criptografia antes que você percebesse, mesmo com a criptografia assimétrica mais cara.
Ao usar criptografia de chave pública, eles garantem que vocêprecisareles para lhe dar a chave de desbloqueio. Sem que eles dêem a você, não há nada que você possa fazer.