Доступен расшифровщик для Rhysida ransomware

Файлы, зашифрованные программой Rhysida ransomware, могут быть успешно расшифрованы благодаря уязвимости в реализации, обнаруженной корейскими исследователями и использованной для создания дешифровщика.

Rhysida и ее ransomware

Rhysida – это относительно новая банда хакеров, занимающаяся вымогательством.

Впервые замеченная в мае 2023 года, она сделала себе имя, атакуя Британскую библиотеку, чилийскую армию, организации здравоохранения и Holding Slovenske Elektrarne (HSE).

По мнению Check Point Research, группа Rhysida ransomware может быть просто хакерской группой Vice Society, вооруженной новой программой-вымогателем.

«Программа-вымогатель Rhysida шифрует данные, используя 4096-битный ключ шифрования RSA с алгоритмом ChaCha20. Алгоритм включает в себя 256-битный ключ, 32-битный счетчик и 96-битный nonce, а также матрицу четыре на четыре из 32-битных слов в открытом тексте»
- говорится в сообщении Агентства кибербезопасности и защиты инфраструктуры

Создание дешифровщика Rhysida

«Для расшифровки данных, зашифрованных с помощью криптографического алгоритма с симметричным ключом, требуется ключ шифрования, использованный в процессе. Поскольку ключи шифрования могут генерироваться различными способами, важно определить факторы, используемые ransomware в процессе генерации ключа при шифровании данных»
- считают исследователи Гиюн Ким, Суджин Кан, Сынчжун Бэк и Чонсун Ким из Университета Кукмин в Сеуле и Кимун Ким из Корейского агентства Интернет и безопасности (KISA)

Как и другие исследователи до них, они установили, что Rhysida ransomware использует криптографическую библиотеку с открытым исходным кодом LibTomCrypt для шифрования и функции генератора псевдослучайных чисел (ГПСЧ) для генерации ключей и векторов инициализации (IV).

После тщательного анализа ransomware они обнаружили, что:

  • случайное генерируемое число основано на времени выполнения Rhysida ransomware
  • они могут определить (случайный) порядок файлов для шифрования
  • Поток шифрования Rhysida генерирует 80 байт случайных чисел при шифровании одного файла, первые 48 байт из которых используются в качестве ключа шифрования и IV

С этой информацией исследователи смогли создать инструмент восстановления.

«Насколько нам известно, это первая успешная расшифровка Rhysida ransomware. Мы стремимся к тому, чтобы наша работа способствовала уменьшению ущерба, наносимого Rhysida ransomware»
- отмечают исследователи

Сударев Александр Эксперт по безопасности, криптовалютам и умным домам

Люблю технологии и криптовалюты. Создаю свой умный дом и делюсь этим с Вами. Знаю как предотвратить хакерскую атаку, так как немного смыслю в безопасности

Похожие статьи

Комментарии (0)