Logiquement dans le fonctionnement de cryptolocker, la clé de cryptage est supprimée à la fin de l'opération de cryptage, tout comme lexécutable.
Par contre pour ceux qui ont un nas partiellement crypté, il y a fort à parier que lexécutable ainsi que la clé publique de cryptage soit encore présents.
pour info voici le fonctionnement de cryptolocker sur PC:
Si un utilisateur clique sur un lien malveillant présent dans les spams envoyés par les auteurs de la menace, plusieurs logiciels malveillants sinstallent en utilisant des exploits du système.
Le ransomware va tenter détablir la communication avec le serveur de contrôle par plusieurs moyens. Il va notamment essayer de se connecter au serveur dont ladresse IP est 184.164.136.134.
Une fois la connexion établie, il va générer localement une clé aléatoire de chiffrement en utilisant un algorithme symétrique AES 256. Cette clé va alors être transmise au serveur de contrôle des pirates. Pour éviter de faire transiter cette clé en clair, cette dernière est chiffrée avec une clé publique RSA de 2048 bits, présente dans le logiciel malveillant, en sappuyant sur un algorithme asymétrique pour générer la paire de clés privée/publique.
Le logiciel va ensuite identifier les fichiers en fonction de leurs types (Microsoft office, OpenOffice, images jpeg, etc.) et les chiffrer à laide de la clé AES. Cette dernière est ensuite supprimée du poste de lutilisateur.
A ce stade, la clé AES permettant de déchiffrer le contenu infecté est présente uniquement sur le serveur de contrôle des pirates, cette même clé na pu être interceptée lors de lenvoi au serveur C&C à cause dune surcouche de chiffrement en utilisant un algorithme asymétrique (clé publique).