探索网络安全新技术
攀登黑客技术最高峰

Rhysida勒索软件免费解密工具发布

网络安全研究人员发现了一个“实施漏洞”,该漏洞使得重建加密密钥和解密 Rhysida 勒索软件锁定的数据成为可能。

国民大学和韩国互联网安全局 (KISA) 的一组研究人员上周发表了研究结果。

研究人员表示:“通过对 Rhysida 勒索软件的全面分析,我们发现了一个实施漏洞,使我们能够重新生成该恶意软件使用的加密密钥。”

这一进展标志着该勒索软件菌株首次成功解密,该勒索软件菌株于 2023 年 5 月首次出现。恢复工具正在通过 KISA 分发。

该研究也是继Magniber v2、Ragnar Locker、Avaddon和Hive之后,利用勒索软件中的实现漏洞实现数据解密的最新研究。

Rhysida与另一个名为 Vice Society 的勒索软件团队有重叠,利用一种称为双重勒索的策略,通过威胁公布被盗数据来向受害者施加压力,迫使其付款。

Rhysida勒索软件免费解密工具发布-威武网安

美国政府于 2023 年 11 月发布的一份公告指出,威胁行为者针对教育、制造业、信息技术和政府部门发动机会主义攻击。

对勒索软件内部工作原理的彻底检查表明,它使用 LibTomCrypt 进行加密,并使用并行处理来加速该过程。它还被发现实施间歇性加密(也称为部分加密)以逃避安全解决方案的检测。

Rhysida勒索软件免费解密工具发布-威武网安

研究人员表示:“Rhysida 勒索软件使用加密安全伪随机数生成器 (CSPRNG) 来生成加密密钥。” “该生成器使用加密安全算法来生成随机数。”

具体来说,CSPRNG基于LibTomCrypt库提供的ChaCha20算法,生成的随机数也与Rhysida勒索软件的运行时间相关。

尽管随机数具有可预测性,但 Rhysida 勒索软件的主进程会编译要加密的文件列表,随后创建的各种线程会引用该列表,以按特定顺序同时加密文件。

研究人员指出:“在 Rhysida 勒索软件的加密过程中,加密线程在加密单个文件时会生成 80 字节的随机数。” “其中,前 48 个字节用作加密密钥和[初始化向量]。”

研究人员表示,利用这些观察结果作为参考点,他们能够检索用于解密勒索软件的初始种子,确定文件加密的“随机”顺序,并最终恢复数据,而无需支付赎金。

研究人员总结道:“尽管这些研究的范围有限,但重要的是要承认某些勒索软件可以成功解密。”

安全研究员法比安·沃萨尔 (Fabian Wosar) 表示,“至少其他三个团体发现了这些弱点,他们选择私下传播该报道,而不是寻求公开并提醒 Rhysida 他们的问题。”

“Avast 在去年 10 月发现了该漏洞,法国 CERT 在 6 月撰写并发表了一篇有关该漏洞的私人论文,我在去年 5 月发现了该漏洞,”Wosar说。“我不知道 Avast 和 CERT 数据,但从那时起我们已经解密了数百个系统。”

“另外,请注意:本文仅适用于 Rhysida 勒索软件的 Windows PE 版本。它不适用于 ESXi 或 PowerShell 有效负载。”

解密工具及使用说明:【直达链接

打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《Rhysida勒索软件免费解密工具发布》
文章链接:https://www.wevul.com/6551.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

文章推荐

如果文章对您有帮助 请不要吝啬 打赏一下小站

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册