2024/02/12

Descodificador gratuito para Rhysida ransomware

O ransomware Rhysida tinha uma vulnerabilidade que permitiu a criação de um descodificador gratuito que foi disponibilizado.

O Rhysida passa a fazer parte do grupo de ransomwares para os quais existe uma ferramenta de descodificação gratuita, permitindo recuperar os dados codificados sem necessidade de pagar o resgate pedido pelos atacantes.

Investigadores sul-coreanos descobriram uma vulnerabilidade no sistema de encriptação parcial utilizado por este ransomware - uma técnica frequentemente utilizada pelos ransomwares para encriptar grandes quantidades de dados de forma mais rápida, codificando apenas partes dos ficheiros, de modo a que fiquem corrompidos se tentarem ser usados, mas evitando a necessidade de processar e reescrever gigabytes ou petabytes de dados - e que permitiu a criação deste descodificador gratuito do Rhysida.
Curiosamente, esta vulnerabilidade já tinha identificado e aproveitada por outras entidades, estando a ser utilizada em segredo para mitigar ataques do Rhysida desde Maio de 2023.

Os investigadores estão conscientes de que a revelação pública da vulnerabilidade irá fazer com que os criadores deste ransomware rapidamente o actualizem e inviabilizem o descodificador gratuito, mas dizem que é a única forma de beneficiar todas as pessoas que foram alvo deste ransomware e que não estão conscientes de que podem recuperar os seus dados sem terem que pagar por isso.

De notar que este descodificador só consegue recuperar ficheiros que tenham sido encriptados pelo Rhysida Windows encryptor, e não pelos ficheiros encriptados em VMware ESXi ou via PowerShell.

Sem comentários:

Enviar um comentário (problemas a comentar?)