Для вымогателя Rhysida появился бесплатный дешифровщик - «Новости» » Интернет технологии
sitename
Новый Outlook не открывает некоторые вложения в формате Excel - «Новости»
Новый Outlook не открывает некоторые вложения в формате Excel - «Новости»
 В Южной Корее задержаны взломщики 120 000 IP-камер - «Новости»
В Южной Корее задержаны взломщики 120 000 IP-камер - «Новости»
 Фальшивые приложения YouTube и TikTok распространяют Android-троян - «Новости»
Фальшивые приложения YouTube и TikTok распространяют Android-троян - «Новости»
 Роскомнадзор сообщил, что заблокировал FaceTime в России - «Новости»
Роскомнадзор сообщил, что заблокировал FaceTime в России - «Новости»
 Роскомнадзор заблокировал Snapchat на территории России - «Новости»
Роскомнадзор заблокировал Snapchat на территории России - «Новости»
 «У Microsoft никогда ничего не получается с первого раза»: Copilot+PC провалился и только запутал пользователей - «Новости сети»
«У Microsoft никогда ничего не получается с первого раза»: Copilot+PC провалился и только запутал пользователей - «Новости сети»
 Samsung и SK hynix угодили в цугцванг: расширять производство памяти страшно, но не расширять — нельзя - «Новости сети»
Samsung и SK hynix угодили в цугцванг: расширять производство памяти страшно, но не расширять — нельзя - «Новости сети»
 Micron предала потребителей ради ИИ: выпуск SSD и памяти Crucial будет прекращен навсегда - «Новости сети»
Micron предала потребителей ради ИИ: выпуск SSD и памяти Crucial будет прекращен навсегда - «Новости сети»
 Цены на смартфоны взлетят уже в начале 2026 года — и несложно догадаться, почему - «Новости сети»
Цены на смартфоны взлетят уже в начале 2026 года — и несложно догадаться, почему - «Новости сети»
 Sony представила A7 V — свою первую полнокадровую камеру с частично-стековым сенсором и бесшумной съёмкой 30 кадров/с за $2900 - «Новости сети»
Sony представила A7 V — свою первую полнокадровую камеру с частично-стековым сенсором и бесшумной съёмкой 30 кадров/с за $2900 - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Для вымогателя Rhysida появился бесплатный дешифровщик - «Новости»

✔Для вымогателя Rhysida появился бесплатный дешифровщик - «Новости»

14 февраля 2024 668 Новости / Сайтостроение / Изображения / Преимущества стилей / Заработок / Интернет и связь / Статьи об афоризмах / Вёрстка / Добавления стилей / Самоучитель CSS 0

Южнокорейские исследователи обнаружили уязвимость в шифровальщике Rhysida, что позволило им создать бесплатный дешифратор для восстановления файлов в Windows. Другие специалисты считают, что исследователи зря раскрыли информацию о баге.


Вымогатель Rhysida появился в середине 2023 года, и стоящая за ним группировка активно атаковала организации в сфере образования, здравоохранения, производства, информационных технологий и государственного управления. Одной из наиболее известных жертв Rhysida стала национальная библиотека Великобритании, атакованная хакерами прошлой осенью.


Теперь южнокорейские специалисты из Университета Кукмин и Корейского агентства интернета и безопасности (KISA) обнаружили уязвимость в схеме шифрования вымогателя, а именно в генераторе псевдослучайных чисел (CSPRNG), который используется для создания уникального приватного ключа для каждой атаки. Благодаря этому недостатку аналитики сумели создать инструмент, позволяющий бесплатно восстанавливать зашифрованные данные.


В своем отчете эксперты объясняют, что тщательное изучение принципов работы вымогателя выявило использование LibTomCrypt для шифрования и параллельную обработку данных для ускорения работы. Также было обнаружено, что программа использует прерывистое шифрование (оно же частичное шифрование), чтобы ускорить работу и избежать обнаружения.


Прерывистое шифрование представляет собой метод, используемый многими вымогательскими группировками. Идея заключается в том, что малварь попеременно шифрует и не шифрует фрагменты данных, что позволяет зашифровать файл намного быстрее, делая данные непригодными для использования жертвой.


Это имело решающее значение для создания метода дешифрования, поскольку исследователям пришлось понять шаблон шифрования и выборочно применять правильный ключ к затронутым частям файла.



Прерывистое шифрование в Rhysida

«Rhysida использует криптографически стойкий генератор псевдослучайных чисел (CSPRNG) для генерации ключей шифрования, — говорят исследователи. — Этот генератор использует криптографически стойкий алгоритм для генерации случайных чисел».


Так, CSPRNG основан на алгоритме ChaCha20, предоставляемым библиотекой LibTomCrypt, причем генерируемое случайное число также соотносится со временем, когда был запущен шифровальщик Rhysida. Некорректная система генерации значений в Rhysida связана именно с получение 32-битного seed-значения на основе текущего системного времени, что, по словам исследователей, сужает область поиска до приемлемых с вычислительной точки зрения пределов.


Rhysida использует это значение для генерации приватного ключа шифрования и вектора инициализации, но не имеет других источников данных с высокой энтропией для обеспечения непредсказуемости seed, что в итоге делает его угадываемым при изучении логов или прочих данных, позволяющих узнать время начала атаки.


Вооружившись этими данными, исследователи создали метод, который восстанавливает состояние CSPRNG, перебирая различные значения seed в пределах ожидаемого диапазона. Как только правильное значение найдено (подтверждено, что оно может расшифровать данные), все последующие случайные числа можно легко предсказать, и зашифрованные данные могут быть восстановлены без использования настоящего приватного ключа.



Поиск seed

Инструмент для расшифровки файлов уже доступен на сайте доступен на сайте KISA, наряду с с техническим отчетом и инструкциями по его использованию на корейском и английском языках.


Стоит отметить, что вскоре после публикации этого исследования известный ИБ-эксперт Фабиан Восар сообщил, что уязвимость в Rhysida была обнаружена «по меньшей мере тремя другими сторонами, которые предпочли распространять эту информацию в частном порядке, а не добиваться публикации, оповещая Rhysida о проблемах».


«Avast обнаружил уязвимость в октябре прошлого года, французский CERT написал и опубликовал приватную статью об этом в июне, а я нашел уязвимость в мае прошлого года, — заявил Восар. — Мне неизвестная статистика Avast и CERT, но с тех пор мы расшифровали сотни систем. Кроме того, хочу предупредить: исследование [корейских специалистов] относится только к Rhysida версии Windows PE. Оно не касается ESXi или полезной нагрузки PowerShell».


Восар предупреждает, что теперь операторы вымогателя, скорее всего, устранят ошибку за несколько дней, и восстановление файлов без выплаты выкупа снова станет невозможным.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Южнокорейские исследователи обнаружили уязвимость в шифровальщике Rhysida, что позволило им создать бесплатный дешифратор для восстановления файлов в Windows. Другие специалисты считают, что исследователи зря раскрыли информацию о баге. Вымогатель Rhysida появился в середине 2023 года, и стоящая за ним группировка активно атаковала организации в сфере образования, здравоохранения, производства, информационных технологий и государственного управления. Одной из наиболее известных жертв Rhysida стала национальная библиотека Великобритании, атакованная хакерами прошлой осенью. Теперь южнокорейские специалисты из Университета Кукмин и Корейского агентства интернета и безопасности (KISA) обнаружили уязвимость в схеме шифрования вымогателя, а именно в генераторе псевдослучайных чисел (CSPRNG), который используется для создания уникального приватного ключа для каждой атаки. Благодаря этому недостатку аналитики сумели создать инструмент, позволяющий бесплатно восстанавливать зашифрованные данные. В своем отчете эксперты объясняют, что тщательное изучение принципов работы вымогателя выявило использование LibTomCrypt для шифрования и параллельную обработку данных для ускорения работы. Также было обнаружено, что программа использует прерывистое шифрование (оно же частичное шифрование), чтобы ускорить работу и избежать обнаружения. Прерывистое шифрование представляет собой метод, используемый многими вымогательскими группировками. Идея заключается в том, что малварь попеременно шифрует и не шифрует фрагменты данных, что позволяет зашифровать файл намного быстрее, делая данные непригодными для использования жертвой. Это имело решающее значение для создания метода дешифрования, поскольку исследователям пришлось понять шаблон шифрования и выборочно применять правильный ключ к затронутым частям файла. Прерывистое шифрование в Rhysida «Rhysida использует криптографически стойкий генератор псевдослучайных чисел (CSPRNG) для генерации ключей шифрования, — говорят исследователи. — Этот генератор использует криптографически стойкий алгоритм для генерации случайных чисел». Так, CSPRNG основан на алгоритме ChaCha20, предоставляемым библиотекой LibTomCrypt, причем генерируемое случайное число также соотносится со временем, когда был запущен шифровальщик Rhysida. Некорректная система генерации значений в Rhysida связана именно с получение 32-битного seed-значения на основе текущего системного времени, что, по словам исследователей, сужает область поиска до приемлемых с вычислительной точки зрения пределов. Rhysida использует это значение для генерации приватного ключа шифрования и вектора инициализации, но не имеет других источников данных с высокой энтропией для обеспечения непредсказуемости seed, что в итоге делает его угадываемым при изучении логов или прочих данных, позволяющих узнать время начала атаки. Вооружившись этими данными, исследователи создали метод, который восстанавливает состояние CSPRNG, перебирая различные значения seed в пределах ожидаемого диапазона. Как только правильное значение найдено (подтверждено, что оно может расшифровать данные), все последующие случайные числа можно легко предсказать, и зашифрованные данные могут быть восстановлены без использования настоящего приватного ключа. Поиск seed Инструмент для расшифровки файлов уже доступен на сайте доступен на сайте KISA, наряду с с техническим отчетом и инструкциями по его использованию на корейском и английском языках. Стоит отметить, что вскоре после публикации этого исследования известный ИБ-эксперт Фабиан Восар сообщил, что уязвимость в Rhysida была обнаружена «по меньшей мере тремя другими сторонами, которые предпочли распространять эту информацию в частном порядке, а не добиваться публикации, оповещая Rhysida о проблемах». «Avast обнаружил уязвимость в октябре прошлого года, французский CERT написал и опубликовал приватную статью об этом в июне, а я нашел уязвимость в мае прошлого года, — заявил Восар. — Мне неизвестная статистика Avast и CERT, но с тех пор мы расшифровали сотни систем. Кроме того, хочу предупредить: исследование _
CSS
запостил(а)
Adrian
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: