Невозможно отучить людей изучать самые ненужные предметы.
Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3
Надо знать обо всем понемножку, но все о немногом.
Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы
Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)
Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода
Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5
Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости
Справочник от А до Я
HTML, CSS, JavaScript
Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы
Помогли мы вам |
Южнокорейские исследователи обнаружили уязвимость в шифровальщике Rhysida, что позволило им создать бесплатный дешифратор для восстановления файлов в Windows. Другие специалисты считают, что исследователи зря раскрыли информацию о баге.
Вымогатель Rhysida появился в середине 2023 года, и стоящая за ним группировка активно атаковала организации в сфере образования, здравоохранения, производства, информационных технологий и государственного управления. Одной из наиболее известных жертв Rhysida стала национальная библиотека Великобритании, атакованная хакерами прошлой осенью.
Теперь южнокорейские специалисты из Университета Кукмин и Корейского агентства интернета и безопасности (KISA) обнаружили уязвимость в схеме шифрования вымогателя, а именно в генераторе псевдослучайных чисел (CSPRNG), который используется для создания уникального приватного ключа для каждой атаки. Благодаря этому недостатку аналитики сумели создать инструмент, позволяющий бесплатно восстанавливать зашифрованные данные.
В своем отчете эксперты объясняют, что тщательное изучение принципов работы вымогателя выявило использование LibTomCrypt для шифрования и параллельную обработку данных для ускорения работы. Также было обнаружено, что программа использует прерывистое шифрование (оно же частичное шифрование), чтобы ускорить работу и избежать обнаружения.
Прерывистое шифрование представляет собой метод, используемый многими вымогательскими группировками. Идея заключается в том, что малварь попеременно шифрует и не шифрует фрагменты данных, что позволяет зашифровать файл намного быстрее, делая данные непригодными для использования жертвой.
Это имело решающее значение для создания метода дешифрования, поскольку исследователям пришлось понять шаблон шифрования и выборочно применять правильный ключ к затронутым частям файла.
«Rhysida использует криптографически стойкий генератор псевдослучайных чисел (CSPRNG) для генерации ключей шифрования, — говорят исследователи. — Этот генератор использует криптографически стойкий алгоритм для генерации случайных чисел».
Так, CSPRNG основан на алгоритме ChaCha20, предоставляемым библиотекой LibTomCrypt, причем генерируемое случайное число также соотносится со временем, когда был запущен шифровальщик Rhysida. Некорректная система генерации значений в Rhysida связана именно с получение 32-битного seed-значения на основе текущего системного времени, что, по словам исследователей, сужает область поиска до приемлемых с вычислительной точки зрения пределов.
Rhysida использует это значение для генерации приватного ключа шифрования и вектора инициализации, но не имеет других источников данных с высокой энтропией для обеспечения непредсказуемости seed, что в итоге делает его угадываемым при изучении логов или прочих данных, позволяющих узнать время начала атаки.
Вооружившись этими данными, исследователи создали метод, который восстанавливает состояние CSPRNG, перебирая различные значения seed в пределах ожидаемого диапазона. Как только правильное значение найдено (подтверждено, что оно может расшифровать данные), все последующие случайные числа можно легко предсказать, и зашифрованные данные могут быть восстановлены без использования настоящего приватного ключа.
Инструмент для расшифровки файлов уже доступен на сайте доступен на сайте KISA, наряду с с техническим отчетом и инструкциями по его использованию на корейском и английском языках.
Стоит отметить, что вскоре после публикации этого исследования известный ИБ-эксперт Фабиан Восар сообщил, что уязвимость в Rhysida была обнаружена «по меньшей мере тремя другими сторонами, которые предпочли распространять эту информацию в частном порядке, а не добиваться публикации, оповещая Rhysida о проблемах».
«Avast обнаружил уязвимость в октябре прошлого года, французский CERT написал и опубликовал приватную статью об этом в июне, а я нашел уязвимость в мае прошлого года, — заявил Восар. — Мне неизвестная статистика Avast и CERT, но с тех пор мы расшифровали сотни систем. Кроме того, хочу предупредить: исследование [корейских специалистов] относится только к Rhysida версии Windows PE. Оно не касается ESXi или полезной нагрузки PowerShell».
Восар предупреждает, что теперь операторы вымогателя, скорее всего, устранят ошибку за несколько дней, и восстановление файлов без выплаты выкупа снова станет невозможным.
|
|