紧急程度：★★★★☆

影响平台：Windows

尊敬的用户：

您好！

Rhysida首次被发现于2023年5月，目前还处于发展的早期阶段，由于缺少完善的功能和先进的技术，其将自身命名为Rhysida-0.1。Rhysida自其问世以来，一直处于活跃状态。其是一个新的RaaS（Ransomware-as-a-service）组织，该组织通过网络钓鱼和Cobalt Strike木马来进行攻击。

Rhysida勒索将其明文写入样本字符串中，并加密用户的文档，留下PDF格式的勒索信，并修改桌面背景。勒索信中记录了暗网的地址和密码，并要求受害者通过支付比特币进行解密。

【Rhysida勒索攻击流程】

病毒详细分析

Rhysida勒索样本是一个64位可执行程序。由MinGW/GCC进行编译，未进行加壳处理。

样本参数设置

Rhysida勒索病毒允许带参执行，允许两个参数中选择一个参数执行。

-d：选择一个目录进行加密

-sr：文件运行完成后，进行自删除

如果选择-d，则是指定路径。否则遍历所有字母，字符串格式化输出为盘符，将所有磁盘进行加密。

如果选择-sr，执行cmd命令，进行文件自删除。

样本加密分析

预加密流程分析

在主线程中，对加密流程进行预加密：

l  使用init_prng来初始化Chacha20算法，为后续加密做好准备

l  使用rsa_import初始化RSA公钥

l  使用register_cipher、Find_cipher进行AES前置的加密工作

l  使用register_hash注册哈希类型

l  使用chc_register将AES和CHC Hash进行绑定

l  使用rijndael_keysize进行长度初始化操作

加密流程分析

ü  创建加密线程进行加密。

ü  遍历文件路径，遍历到的文件将会等待加密线程进行加密。

ü  使用自旋锁加密文件

在主线程中，主线程利用自旋锁，将文件路径压入待加密文件队列中。在加密线程中，加密线程同样利用自旋锁，读取主线程压入的文件路径，进行加密。

ü  加密文件添加勒索后缀

待加密文件进行重命名，在文件名后添加.rhysida，如果命名失败，则直接跳过加密环节。

写入勒索信

在C:/Users/Public写入文件CriticalBreachDetected.pdf，PDF内容则是勒索信，其包含了暗网地址和登录私钥。

动态生成勒索壁纸

设置勒索图片背景的字体，创建并生成图片C:/Users/Public/bg.jpg。

勒索图片设置为Windows壁纸

通过修改注册表，将释放的勒索图片设置为壁纸。

解决方案

ü  及时升级各安全厂家的病毒库。

ü  以亚信安全为例：梦蝶防病毒引擎可以检测该类型病毒，可检测的病毒码版本为1.6.0.183。

安全建议

ü  全面部署安全产品，保持相关组件及时更新；

ü  不要点击来源不明的邮件附件以及邮件中包含的链接；

ü  请到正规网站下载程序；

ü  采用高强度的密码，避免使用弱口令密码，并定期更换密码；

ü  尽量关闭不必要的端口及网络共享；

ü  请注意备份重要文档。备份的最佳做法是采取3-2-1规则，即至少做三个副本，用两种不同格式保存，并将副本放在异地存储。

IOCs