Търсене
Close this search box.

Rhysida Ransomware е кракнат, пуснат е безплатен инструмент за декриптиране

Изследователи в областта на киберсигурността са открили „уязвимост в изпълнението“, която е позволила да се възстановят ключовете за криптиране и да се декриптират данните, заключени от рансъмуера Rhysida.

Констатациите са публикувани миналата седмица от група изследователи от университета Kookmin и Корейската агенция за интернет и сигурност (KISA).

„Чрез цялостен анализ на Rhysida Ransomware идентифицирахме уязвимост в изпълнението, която ни позволи да възстановим ключа за криптиране, използван от зловредния софтуер“, заявиха изследователите.

Разработката бележи първото успешно декриптиране на щама ransomware, който се появи за първи път през май 2023 г. Чрез KISA се разпространява инструмент за възстановяване.

Rhysida Ransomware Cracked
Изследването е и най-новото, което постига декриптиране на данни чрез използване на уязвимости в имплементацията на ransomware, след Magniber v2, Ragnar Locker, Avaddon и Hive.

Rhysida, за който е известно, че има общи припокривания с друг екип на ransomware, наречен Vice Society, използва тактика, известна като двойно изнудване, за да окаже натиск върху жертвите да платят, като заплашва да публикува откраднатите им данни.

През ноември 2023 г. правителството на САЩ публикува консултативен документ, в който се посочва, че  заплахите организират опортюнистични атаки, насочени към секторите на образованието, производството, информационните технологии и правителството.

Задълбоченото проучване на вътрешните механизми на рансъмуера разкри, че той използва LibTomCrypt за криптиране, както и паралелна обработка за ускоряване на процеса. Установено е също така, че той прилага прекъснато криптиране (известно още като частично криптиране), за да избегне откриване от решенията за сигурност.

 

„Rhysida ransomware използва криптографски защитен генератор на псевдослучайни числа (CSPRNG), за да генерира ключа за криптиране“, казват изследователите. „Този генератор използва криптографски защитен алгоритъм за генериране на случайни числа.“

По-конкретно, CSPRNG се основава на алгоритъма ChaCha20, предоставен от библиотеката LibTomCrypt, като генерираното случайно число е свързано и с времето, в което се изпълнява Rhysida ransomware.

Това не е всичко. Основният процес на Rhysida ransomware съставя списък на файловете, които трябва да бъдат криптирани. Впоследствие този списък се препраща към различни нишки, създадени за едновременно криптиране на файловете в определен ред.

„В процеса на криптиране на Rhysida ransomware нишката за криптиране генерира 80 байта случайни числа при криптирането на един файл“, отбелязват изследователите. „От тях първите 48 байта се използват като ключ за криптиране и [вектор за инициализация].“

Използвайки тези наблюдения като отправни точки, изследователите заявиха, че са успели да извлекат първоначалното ядро за декриптиране на ransomware, да определят „рандомизирания“ ред, в който са били криптирани файловете, и в крайна сметка да възстановят данните, без да се налага да плащат откуп.

„Въпреки че тези проучвания имат ограничен обхват, важно е да се признае, че някои рансъмуери могат да бъдат успешно декриптирани“, заключават изследователите.

 

 

Източник: The Hacker News

Подобни публикации

9 септември 2024

Шпионският софтуер Predator се появяви отново с...

Шпионският софтуер Predator се е появил отново с нова инфраструктур...
9 септември 2024

Един милион клиенти на Kaspersky в САЩ са прехв...

Клиентите на Kaspersky в Съединените щати са уведомени, че абонамен...
9 септември 2024

CISA сигнализира за грешки в ICS в продуктите н...

Миналата седмица американската Агенция за киберсигурност и инфрастр...
9 септември 2024

Progress LoadMaster е уязвим към недостатък на ...

Progress Software издаде спешна поправка за уязвимост с максимална ...
9 септември 2024

Секс измамите вече използват името на „изневеря...

Нов вариант на продължаващите измами с електронни писма с цел сексу...
9 септември 2024

Новата атака RAMBO краде данни чрез RAM памет

Нова атака по страничен канал, наречена „RAMBO“ (Radiation of Air-g...
9 септември 2024

Гигантът Avis разкрива нарушение на сигурността...

Американският гигант за отдаване на автомобили под наем Avis уведом...
8 септември 2024

Microsoft Office 2024 ще деактивира ActiveX кон...

След пускането на Office 2024 през октомври Microsoft ще забрани Ac...
8 септември 2024

Европа отвори вратата към универсален портфейл

Представете си, че се премествате в мечтаната дестинация. Тропическ...
Бъдете социални
Още по темата
06/09/2024

Банда за рансъмуер твърди, ...

Известна ransomware банда твърди, че е...
04/09/2024

Банди за рансъмуер опустоша...

Поредицата от големи атаки с рансъмуер...
04/09/2024

Град Кълъмбъс съди изследов...

След като омаловажи въздействието на неотдавнашна...
Последно добавени
09/09/2024

Шпионският софтуер Predator...

Шпионският софтуер Predator се е появил...
09/09/2024

Един милион клиенти на Kasp...

Клиентите на Kaspersky в Съединените щати...
09/09/2024

CISA сигнализира за грешки ...

Миналата седмица американската Агенция за киберсигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!