Rhysida勒索软件破解，免费解密工具发布

    Rhysida首次被发现于2023年5月，目前还处于发展的早期阶段，由于缺少完善的功能和先进的技术，其将自身命名为Rhysida-0.1。Rhysida自其问世以来，一直处于活跃状态。其是一个新的RaaS（Ransomware-as-a-service）组织，该组织通过网络钓鱼和Cobalt Strike木马来进行攻击。

Rhysida勒索将其明文写入样本字符串中，并加密用户的文档，留下PDF格式的勒索信，并修改桌面背景。勒索信中记录了暗网的地址和密码，并要求受害者通过支付比特币进行解密。

【Rhysida勒索攻击流程】

病毒详细分析

Rhysida勒索样本是一个64位可执行程序。由MinGW/GCC进行编译，未进行加壳处理。

样本参数设置

Rhysida勒索病毒允许带参执行，允许两个参数中选择一个参数执行。

-d：选择一个目录进行加密

-sr：文件运行完成后，进行自删除

如果选择-d，则是指定路径。否则遍历所有字母，字符串格式化输出为盘符，将所有磁盘进行加密。

如果选择-sr，执行cmd命令，进行文件自删除。

样本加密分析

预加密流程分析

在主线程中，对加密流程进行预加密：

l  使用init_prng来初始化Chacha20算法，为后续加密做好准备

l  使用rsa_import初始化RSA公钥

l  使用register_cipher、Find_cipher进行AES前置的加密工作

l  使用register_hash注册哈希类型

l  使用chc_register将AES和CHC Hash进行绑定

l  使用rijndael_keysize进行长度初始化操作

加密流程分析

ü  创建加密线程进行加密。

ü  遍历文件路径，遍历到的文件将会等待加密线程进行加密。

ü  使用自旋锁加密文件

在主线程中，主线程利用自旋锁，将文件路径压入待加密文件队列中。在加密线程中，加密线程同样利用自旋锁，读取主线程压入的文件路径，进行加密。

ü  加密文件添加勒索后缀

待加密文件进行重命名，在文件名后添加.rhysida，如果命名失败，则直接跳过加密环节。

写入勒索信

在C:/Users/Public写入文件CriticalBreachDetected.pdf，PDF内容则是勒索信，其包含了暗网地址和登录私钥。

动态生成勒索壁纸

设置勒索图片背景的字体，创建并生成图片C:/Users/Public/bg.jpg。

勒索图片设置为Windows壁纸

通过修改注册表，将释放的勒索图片设置为壁纸。

解决方案

ü  及时升级各安全厂家的病毒库。

安全建议

ü  全面部署安全产品，保持相关组件及时更新；

ü  不要点击来源不明的邮件附件以及邮件中包含的链接；

ü  请到正规网站下载程序；

ü  采用高强度的密码，避免使用弱口令密码，并定期更换密码；

ü  尽量关闭不必要的端口及网络共享；

ü  请注意备份重要文档。备份的最佳做法是采取3-2-1规则，即至少做三个副本，用两种不同格式保存，并将副本放在异地存储。

IOCs

勒索解密工具背景介绍：

一组韩国安全研究人员发现了臭名昭著的勒索软件中的一个漏洞。该漏洞提供了一种解密加密文件的方法。

国民大学的研究人员在一篇关于他们的发现的技术论文中描述了他们如何利用 Rhysida 代码中的实现缺陷来重新生成其加密密钥。

一组韩国安全研究人员发现了臭名昭著的勒索软件中的一个漏洞。该漏洞提供了一种解密加密文件的方法。

国民大学的研究人员在一篇关于他们的发现的技术论文中描述了他们如何利用 Rhysida 代码中的实现缺陷来重新生成其加密密钥。

“Rhysida 勒索软件采用安全随机数生成器来生成加密密钥，随后对数据进行加密。但是，存在一个实施漏洞，使我们能够在感染时重新生成随机数生成器的内部状态。我们成功解密了数据使用重新生成的随机数生成器。据我们所知，这是 Rhysida 勒索软件首次成功解密。”

Rhysida勒索软件免费解密工具下载链接

链接：https://pan.baidu.com/s/1tpXMPDFWAHO2RRJ8hwbEiQ?pwd=9vw1
提取码：9vw1

原文始发于微信公众号（CyberTorres）：Rhysida勒索软件破解，免费解密工具发布