Ερευνητές κυβερνοασφάλειας από το Πανεπιστήμιο Kookmin και την KISA ανακάλυψαν εργαλείο αποκρυπτογράφησης για τα κρυπτογραφημένα αρχεία από το Rhysida ransomware.
Αυτό σηματοδοτεί την πρώτη επιτυχημένη αποκρυπτογράφηση του Rhysida, με διανομή εργαλείου ανάκτησης από την KISA. Αυτή η μελέτη είναι η πιο πρόσφατη που επιτυγχάνει αποκρυπτογράφηση δεδομένων σε ransomware, μετά τα Magniber v2, Ragnar Locker, Avaddon και Hive.
Διαβάστε επίσης: Wolverine: Το Rhysida ransomware διαρρέει δεδομένα του παιχνιδιού
Το Rhysida είναι ένας τύπος ransomware που χρησιμοποιεί διπλή εκβιαστική τακτική για να αναγκάσει τα θύματα να πληρώσουν. Η κυβέρνηση των Ηνωμένων Πολιτειών καλεί τους πολίτες να είναι προσεκτικοί.
Η εξέταση της εσωτερικής λειτουργίας αποκάλυψε τη χρήση του LibTomCrypt και τη διακοπτόμενη κρυπτογράφηση για να αποφευχθεί η ανίχνευση. Το ransomware χρησιμοποιεί το CSPRNG με τον αλγόριθμο ChaCha20 για το κλειδί κρυπτογράφησης, συσχετίζοντάς το με τον χρόνο εκτέλεσης.
Η κρυπτογράφηση γίνεται μέσω της δημιουργίας τυχαίων αριθμών από νήματα.
Οι ερευνητές δήλωσαν ότι κατάφεραν να ανακτήσουν τον αρχικό κωδικό για την αποκρυπτογράφηση του ransomware, προσδιορίζοντας την “τυχαία” σειρά με την οποία κρυπτογραφήθηκαν τα αρχεία, και τελικά ανέκτησαν τα δεδομένα χωρίς να απαιτηθεί η καταβολή λύτρων.
Δείτε ακόμη: White Phoenix: Νέα online έκδοση του εργαλείου αποκρυπτογράφησης ransomware
Αυτή η ανάλυση επισημαίνει ότι ορισμένα ransomware μπορούν να αποκρυπτογραφηθούν με επιτυχία.
Πηγή: thehackernews.com
