خبر خوب برای سازمانهایی که قربانی باج افزار بدنام Rhysida شدهاند. گروهی از محققان امنیتی کره جنوبی یک آسیبپذیری در باج افزار Rhysida کشف کردند. این آسیبپذیری راهی را برای توسعه ابزار رمزگشایی باجافزار Rhysida فراهم کرده است.
محققان دانشگاه کوکمین در مقالهای فنی درباره یافتههای خود توضیح میدهند که چگونه از یک نقص پیاده سازی در کد Rhysida برای بازسازی کلید رمزگشایی آن استفاده کردند:
“باج افزار Rhysida از تولید کننده اعداد تصادفی امن برای تولید کلید رمزگذاری و متعاقباً رمزگشایی دادهها استفاده میکند. با این حال، یک آسیبپذیری پیادهسازی وجود دارد که ما را قادر میسازد تا وضعیت داخلی مولد اعداد تصادفی را در زمان آلودگی بازسازی کنیم. ما با استفاده از مولد اعداد تصادفی بازسازی شده، دادهها را با موفقیت رمزگشایی کردیم. تا جایی که ما میدانیم، این اولین رمزگشایی موفق باج افزار Rhysida است.”
ابزار رمزگشایی باج افزار Rhysida توسعه یافته و از طریق آژانس امنیت و اینترنت کره (KISA) برای عموم مردم توزیع میشود. دستورالعملهای زبان انگلیسی برای استفاده از این ابزار رمزگشایی نیز در دسترس قرار گرفته است.
متأسفانه، عمومی کردن ابزار بازیابی باج افزار بی هزینه هم نیست. انتشار این ابزار و انتشار یافتههای محققان به ناچار به هکرهای مخرب پشت Rhysida در مورد نقص آن هشدار می دهد – و تقریباً مطمئناً این مشکل را رفع خواهند کرد.
این مسئله محققان را با مشکل مواجه میکند. اگر نقصی در باجافزاری بیابند که به آنها امکان رمزگشایی دادههای قربانیان را میدهد، باید به دقت بررسی کنند که آیا آن را عمومی میکنند یا خیر.
اعلام پیدا شدن نقص در یک باجافزار و توسعه ابزار بازیابی فایلها میتواند به سازمانهای هک شده کمک کند بدون پرداخت باج، فایلهای قفل شده را رمزگشایی کنند.
اما همین ابزار رمزگشایی به مجرمان سایبری کمک میکند تا مشکل را در باج افزار خود رفع کنند و قربانیان را از درمان احتمالی محروم کند. پس بهتر است اصلا اعلام نکنیم که ابزار بازیابی وجود دارد؟
جواب این سوال آسان نیست.
ابزار رمزگشایی باجافزار Rhysida جدیدترین ابزار در ردیف ابزارهای بازیابی باج افزار است که در سالهای اخیر ظاهر شده است.
منبع: https://www.tripwire.com/state-of-security/rhysida-ransomware-cracked-free-decryption-tool-released
