ransomware的AES密钥存储在哪里(在文件头/拖车中)？

Question

高级类型的Ransomware通常生成一个AES 128位密钥(用于加密文件，某些类型的ransomware对每个文件使用唯一的AES密钥)。这个键是动态生成的。此外，ransomware生成一个客户端RSA 4096位公钥/私钥对(也是动态的).The Cpub用于加密对称密钥；Cpub本身使用服务器的RSA公钥加密，该公钥是硬编码的。

不过，我想知道的是.加密的AES密钥存储在文件头/拖车中(如果答案是肯定的.它是否覆盖原始文件的头/尾数据)？

我在网上找不到很多关于这件事的信息，但我确实找到了：

• Phobos ransomware将AES密钥存储在文件的预告片中(包括IV)
• WannaCry将AES密钥存储在文件的头中。
• 达摩把钥匙藏在拖车里

Answer 1

加密的AES密钥存储在文件头/拖车中(如果答案是肯定的.

通常是这样。如果每个文件都使用密钥，则将其存储在加密的文件中是非常正常的选择。

它是否覆盖原始文件的头/尾数据)？

如果他们期望原始文件是可恢复的，则头/拖车数据将被预先/附加。因此，加密的文件大小将大致为原始文件(一旦加密)的大小加上加密密钥的大小。