紧急程度:★★★★☆
影响平台:Windows
尊敬的用户:
您好!
Rhysida首次被发现于2023年5月,目前还处于发展的早期阶段,由于缺少完善的功能和先进的技术,其将自身命名为Rhysida-0.1。Rhysida自其问世以来,一直处于活跃状态。其是一个新的RaaS(Ransomware-as-a-service)组织,该组织通过网络钓鱼和Cobalt Strike木马来进行攻击。
Rhysida勒索将其明文写入样本字符串中,并加密用户的文档,留下PDF格式的勒索信,并修改桌面背景。勒索信中记录了暗网的地址和密码,并要求受害者通过支付比特币进行解密。
【Rhysida勒索攻击流程】
病毒详细分析
Rhysida勒索样本是一个64位可执行程序。由MinGW/GCC进行编译,未进行加壳处理。
样本参数设置
Rhysida勒索病毒允许带参执行,允许两个参数中选择一个参数执行。
-d:选择一个目录进行加密
-sr:文件运行完成后,进行自删除
如果选择-d,则是指定路径。否则遍历所有字母,字符串格式化输出为盘符,将所有磁盘进行加密。
如果选择-sr,执行cmd命令,进行文件自删除。
Shell |
样本加密分析
预加密流程分析
在主线程中,对加密流程进行预加密:
l 使用init_prng来初始化Chacha20算法,为后续加密做好准备
l 使用rsa_import初始化RSA公钥
l 使用register_cipher、Find_cipher进行AES前置的加密工作
l 使用register_hash注册哈希类型
l 使用chc_register将AES和CHC Hash进行绑定
l 使用rijndael_keysize进行长度初始化操作
加密流程分析
ü 创建加密线程进行加密。
ü 遍历文件路径,遍历到的文件将会等待加密线程进行加密。
ü 使用自旋锁加密文件
在主线程中,主线程利用自旋锁,将文件路径压入待加密文件队列中。在加密线程中,加密线程同样利用自旋锁,读取主线程压入的文件路径,进行加密。
ü 加密文件添加勒索后缀
待加密文件进行重命名,在文件名后添加.rhysida,如果命名失败,则直接跳过加密环节。
写入勒索信
在C:/Users/Public写入文件CriticalBreachDetected.pdf,PDF内容则是勒索信,其包含了暗网地址和登录私钥。
动态生成勒索壁纸
设置勒索图片背景的字体,创建并生成图片C:/Users/Public/bg.jpg。
勒索图片设置为Windows壁纸
通过修改注册表,将释放的勒索图片设置为壁纸。
解决方案
ü 及时升级各安全厂家的病毒库。
ü 以亚信安全为例:梦蝶防病毒引擎可以检测该类型病毒,可检测的病毒码版本为1.6.0.183。
安全建议
ü 全面部署安全产品,保持相关组件及时更新;
ü 不要点击来源不明的邮件附件以及邮件中包含的链接;
ü 请到正规网站下载程序;
ü 采用高强度的密码,避免使用弱口令密码,并定期更换密码;
ü 尽量关闭不必要的端口及网络共享;
ü 请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。
IOCs
HASH | 亚信安全检测名 |
69b3d913a3967153d1e91ba1a31ebed839b297ed | Ransom.Win64.RHYSIDA.THEBBBBC |
b07f6a5f61834a57304ad4d885bd37d8e1badba8 | Ransom.Win64RHYSIDA.SM |
338d4f4ec714359d589918cee1adad12ef231907 | Ransom. Win64.RHYSIDA.THFOHBC |