Dél-koreai kutatók nyilvánosságra hoztak egy hibát a Rhysida zsarolóvírus titkosítójában, amely lehetővé teszi egy Windows dekódoló létrehozását a fájlok ingyenes visszaállításához.
A Rhysida egy 2023 közepén indult zsarolóprogram, amely arról híresült el, hogy egészségügyi szervezeteket vesz célba, megzavarja a létfontosságú rendszereiket, és értékesíti az érzékeny betegadatokat. A Rhysida szakaszos titkosítást alkalmaz. A fájlok egyes részeit titkosítja csak, a többit plaintextben hagyja.
A dél-koreai kutatók, köztük a Koreai Internet és Biztonsági Ügynökség (KISA) munkatársai sebezhetőséget találtak a zsarolóprogram véletlenszám generátorában (CSPRNG), amely minden támadásnál egyedi titkosítási kulcsot hoz létre.
A hibás értékgeneráló rendszer a 32 bites magértéknek a rendszer aktuális idejéből történő levezetésére támaszkodik. A Rhysida ezt az értéket használja a privát titkosítási kulcs és az inicializálási vektor létrehozásához, de nincs más nagyentrópiájú adatforrás, amely biztosítaná, hogy a magérték kiszámíthatatlan legyen, így a naplófájlok vagy más, a fertőzés időpontját jelző adatok megnézésével kitalálhatóvá válik.
Ezzel a tudással a kutatók kifejlesztettek egy olyan módszert, amely szisztematikusan regenerálja a CSPRNG állapotát azáltal, hogy a várt tartományon belül különböző magértékeket próbálnak ki.
Amint megtalálták a helyes értéket, a zsarolóprogram által a fájlok titkosításához használt összes későbbi véletlenszám könnyen megjósolható, így az összes zárolt adat visszafejthető anélkül, hogy szükség lenne a tényleges privát kulcsra.
A visszafejtés az eredeti titkosítási folyamat során használt titkosítási kulcs és kezdeti vektor pontos regenerálásával, majd egy ellenmódú (CTR) titkosítási folyamat alkalmazásával történik a fájlok titkosított szegmenseire.
Ez a módszer hatékonyan megfordítja a titkosítást, visszaállítva az eredeti szöveget anélkül, hogy a támadó privát kulcsára szükség lenne, kihasználva a CTR mód szimmetrikus tulajdonságát, ahol a titkosítási és visszafejtési műveletek azonosak.
A KISA weboldalán elérhető egy automatikus dekódoló eszköz Windowshoz, valamint egy technikai dokumentum, koreai és angol nyelvű használati utasításokkal. A Rhysida zsarolóprogram áldozatai az eszközzel ingyenesen megpróbálhatják visszafejteni a fájljaikat.
Most azonban, hogy a módszer nyilvánosságra került, a ransomware csoport valószínűleg napokon belül kijavítja a hibát, így a fájlok helyreállítása lehetetlenné válik váltságdíjfizetés nélkül.