(1) CTB-Locker的作者首先生成一個公私鑰對。公鑰保存在前面說的釋放出來的配置文件中,私鑰保存在服務器上. 這里我們把這個公鑰稱為master public key,私鑰稱為master private key����。
(2) 在對每一個文件加密的時候會產(chǎn)生一個會話公私鑰對,當然使用的是ECDH算法����。私鑰生成的算法是對文件的時間,系統(tǒng)運行時間等計算SHA256,這里我們稱為session private key����。然后使用ECDH算法生成公鑰即session public key.之所以稱為會話公私鑰是因為每一個文件的公私鑰對都是和文件自身時間以及系統(tǒng)運行時間有關(guān)的。
(3) 根據(jù)ECDH算法,我們知道 sessionshared secret=ECDH(masterpublic key, session private key)=ECDH(session public key,master private key). 在計算的時候要使用會話私鑰和主公鑰計算出sessionshared secret��,然后對session shared secret計算sha256作為AES的密鑰����。雖然我們可以獲取到主公鑰但是會話私鑰是不保存的,唯一的解密方法是通過主私鑰和會話公鑰計算出session shared secret�。會話公鑰是保存在加密的文件里的。
計算出會話公鑰的代碼如下:
其中var_104是一個長度為0×20的緩沖區(qū)�,第一個字節(jié)為9其余的字節(jié)為0。這個值就相當于ECDH算法中愛麗絲與鮑伯協(xié)定使用的g值����。
接著就是使用會話私鑰和主公鑰計算出來sessionshared secret�,然后對其計算sha256并將其作為AES加密的KEY���。需要強調(diào)的是這里面會話私鑰是不保存的�。相關(guān)代碼如下:
圖中的najzljf_data就是解密出來的配置文件的內(nèi)容���。
一句話總結(jié):要想解密文件只能通過主私鑰和保存在文件中的會話公鑰計算出來session shared secret,再計算一下sha256才能得到AES的KEY����。除此外別無他法��。
