Rhysida勒索软件破解，免费解密工具发布

    Rhysida首次被发现于2023年5月，目前还处于发展的早期阶段，由于缺少完善的功能和先进的技术，其将自身命名为Rhysida-0.1。Rhysida自其问世以来，一直处于活跃状态。其是一个新的RaaS（Ransomware-as-a-service）组织，该组织通过网络钓鱼和Cobalt Strike木马来进行攻击。

Rhysida勒索将其明文写入样本字符串中，并加密用户的文档，留下PDF格式的勒索信，并修改桌面背景。勒索信中记录了暗网的地址和密码，并要求受害者通过支付比特币进行解密。

【Rhysida勒索攻击流程】

病毒详细分析

Rhysida勒索样本是一个64位可执行程序。由MinGW/GCC进行编译，未进行加壳处理。

样本参数设置

Rhysida勒索病毒允许带参执行，允许两个参数中选择一个参数执行。

-d：选择一个目录进行加密

-sr：文件运行完成后，进行自删除

如果选择-d，则是指定路径。否则遍历所有字母，字符串格式化输出为盘符，将所有磁盘进行加密。

如果选择-sr，执行cmd命令，进行文件自删除。

样本加密分析

预加密流程分析

在主线程中，对加密流程进行预加密：

l  使用init_prng来初始化Chacha20算法，为后续加密做好准备

l  使用rsa_import初始化RSA公钥

l  使用register_cipher、Find_cipher进行AES前置的加密工作

l  使用register_hash注册哈希类型

l  使用chc_register将AES和CHC Hash进行绑定

l  使用rijndael_keysize进行长度初始化操作

加密流程分析

ü  创建加密线程进行加密。

ü  遍历文件路径，遍历到的文件将会等待加密线程进行加密。

ü  使用自旋锁加密文件

在主线程中，主线程利用自旋锁，将文件路径压入待加密文件队列中。在加密线程中，加密线程同样利用自旋锁，读取主线程压入的文件路径，进行加密。

ü  加密文件添加勒索后缀

待加密文件进行重命名，在文件名后添加.rhysida，如果命名失败，则直接跳过加密环节。

写入勒索信

在C:/Users/Public写入文件CriticalBreachDetected.pdf，PDF内容则是勒索信，其包含了暗网地址和登录私钥。

动态生成勒索壁纸

设置勒索图片背景的字体，创建并生成图片C:/Users/Public/bg.jpg。

勒索图片设置为Windows壁纸

通过修改注册表，将释放的勒索图片设置为壁纸。

解决方案

ü  及时升级各安全厂家的病毒库。

安全建议

ü  全面部署安全产品，保持相关组件及时更新；

ü  不要点击来源不明的邮件附件以及邮件中包含的链接；

ü  请到正规网站下载程序；

ü  采用高强度的密码，避免使用弱口令密码，并定期更换密码；

ü  尽量关闭不必要的端口及网络共享；

ü  请注意备份重要文档。备份的最佳做法是采取3-2-1规则，即至少做三个副本，用两种不同格式保存，并将副本放在异地存储。

IOCs

HASH	亚信安全检测名
69b3d913a3967153d1e91ba1a31ebed839b297ed	Ransom.Win64.RHYSIDA.THEBBBBC
b07f6a5f61834a57304ad4d885bd37d8e1badba8	Ransom.Win64RHYSIDA.SM
338d4f4ec714359d589918cee1adad12ef231907	Ransom.   Win64.RHYSIDA.THFOHBC

勒索解密工具背景介绍：

一组韩国安全研究人员发现了臭名昭著的勒索软件中的一个漏洞。该漏洞提供了一种解密加密文件的方法。

国民大学的研究人员在一篇关于他们的发现的技术论文中描述了他们如何利用 Rhysida 代码中的实现缺陷来重新生成其加密密钥。

一组韩国安全研究人员发现了臭名昭著的勒索软件中的一个漏洞。该漏洞提供了一种解密加密文件的方法。

国民大学的研究人员在一篇关于他们的发现的技术论文中描述了他们如何利用 Rhysida 代码中的实现缺陷来重新生成其加密密钥。

“Rhysida 勒索软件采用安全随机数生成器来生成加密密钥，随后对数据进行加密。但是，存在一个实施漏洞，使我们能够在感染时重新生成随机数生成器的内部状态。我们成功解密了数据使用重新生成的随机数生成器。据我们所知，这是 Rhysida 勒索软件首次成功解密。”

在适当的时候，Rhysida 勒索软件恢复工具被开发出来，并通过韩国互联网安全局 (KISA) 分发给公众。

还提供了使用解密工具的英文说明。

幸运的是，对于那些不懂韩语的人，我们提供了如何使用解密工具的英语说明。

不幸的是，公开勒索软件恢复工具的存在确实需要付出代价。该工具的发布以及研究人员公布的研究结果将不可避免地提醒 Rhysida 背后的恶意黑客注意其缺陷，并且几乎肯定会确保该缺陷得到修复。

勒索软件研究人员进退两难。如果他们发现勒索软件中存在允许他们解密受害者数据的缺陷，他们必须仔细考虑是否将其公开。

宣布存在缺陷和恢复方法可以帮助受黑客攻击的组织了解有一种无需支付赎金即可恢复其数据的方法。

宣传有助于传播解决方案是可能的信息。

但恢复工具的存在也可能会促使网络犯罪分子修复其代码，从而使受害者失去潜在的治疗方法。那么，最好不要宣布恢复工具的存在吗？

这不是一个容易回答的问题。

Rhysida 解密器只是近年来出现的一系列勒索软件恢复工具中的最新一款，其中包括帮助Yanlouwang、MegaCortex、Akira、REvil和Conti 版本等受害者的实用程序。

Rhysida勒索软件免费解密工具下载链接

链接：https://pan.baidu.com/s/1tpXMPDFWAHO2RRJ8hwbEiQ?pwd=9vw1
提取码：9vw1

原文始发于微信公众号（CyberTorres）：Rhysida勒索软件破解，免费解密工具发布