Уязвимость в шифровальщике Rhysida сводит на нет усилия хакеров

Программа-вымогатель Rhysida оказалась уязвима в области шифрования данных. В результате исследователи сумели не только обнаружить эту уязвимость, но и создать инструмент для восстановления поврежденных данных.

Вымогатель шифрует данные с использованием LibTomCrypt. При этом массивы данных обрабатываются параллельно и через так называемое прерывистое шифрование. Ключ к шифру создается при помощи генератора псевдослучайных чисел CSPRNG.

Создаваемое генератором случайное число на практике коррелирует со временем работы программы-вымогателя Rhysida. 48 из 80 байт случайных чисел, создаваемых вымогателем, являются ключом шифрования и вектора инициализации.

Исследователи не впервые сообщают об уязвимости Rhysida, позволяющей восстановить зашифрованные данные. Впервые информация об этом появилась еще в мае прошлого года, когда своими выводами поделился исследователь Фабиан Восар, который использовал свою находку для помощи жертвам программы-вымогателя.