Se for possível obter um resumo completo sobre como o ransomware geralmente funciona na criptografia de arquivos, isso seria bom.
Eu sei que o ransomware criptografa todos os arquivos com AES-256 para velocidade, mas onde entra a RSA? Aparentemente RSA é lento para criptografar arquivos, então ele usa o AES-256 primeiro e depois o RSA? Alguém pode me explicar isso?
Além disso, a chave RSA vem do servidor C & C do criminoso que bloqueia a chave AES? Se este for o caso, a chave AES não deve ser recuperável?
Normalmente, o ransomware gera uma nova chave AES aleatória para criptografar os dados. Ele criptografa a chave AES com a chave pública RSA do criminoso. Agora, apenas o criminoso pode descriptografar a chave AES criptografada e obter a chave simétrica necessária para descriptografar os dados.