緊急程度：★★★★☆

影響平臺(tái)：Windows

尊敬的用戶(hù)：

您好！

Rhysida首次被發(fā)現(xiàn)于2023年5月，目前還處于發(fā)展的早期階段，由于缺少完善的功能和先進(jìn)的技術(shù)，其將自身命名為Rhysida-0.1。Rhysida自其問(wèn)世以來(lái)，一直處于活躍狀態(tài)。其是一個(gè)新的RaaS（Ransomware-as-a-service）組織，該組織通過(guò)網(wǎng)絡(luò)釣魚(yú)和Cobalt Strike木馬來(lái)進(jìn)行攻擊。

Rhysida勒索將其明文寫(xiě)入樣本字符串中，并加密用戶(hù)的文檔，留下PDF格式的勒索信，并修改桌面背景。勒索信中記錄了暗網(wǎng)的地址和密碼，并要求受害者通過(guò)支付比特幣進(jìn)行解密。

【Rhysida勒索攻擊流程】

病毒詳細(xì)分析

Rhysida勒索樣本是一個(gè)64位可執(zhí)行程序。由MinGW/GCC進(jìn)行編譯，未進(jìn)行加殼處理。

樣本參數(shù)設(shè)置

Rhysida勒索病毒允許帶參執(zhí)行，允許兩個(gè)參數(shù)中選擇一個(gè)參數(shù)執(zhí)行。

-d：選擇一個(gè)目錄進(jìn)行加密

-sr：文件運(yùn)行完成后，進(jìn)行自刪除

如果選擇-d，則是指定路徑。否則遍歷所有字母，字符串格式化輸出為盤(pán)符，將所有磁盤(pán)進(jìn)行加密。

如果選擇-sr，執(zhí)行cmd命令，進(jìn)行文件自刪除。

樣本加密分析

預(yù)加密流程分析

在主線(xiàn)程中，對(duì)加密流程進(jìn)行預(yù)加密：

l  使用init_prng來(lái)初始化Chacha20算法，為后續(xù)加密做好準(zhǔn)備

l  使用rsa_import初始化RSA公鑰

l  使用register_cipher、Find_cipher進(jìn)行AES前置的加密工作

l  使用register_hash注冊(cè)哈希類(lèi)型

l  使用chc_register將AES和CHC Hash進(jìn)行綁定

l  使用rijndael_keysize進(jìn)行長(zhǎng)度初始化操作

加密流程分析

ü  創(chuàng)建加密線(xiàn)程進(jìn)行加密。

ü  遍歷文件路徑，遍歷到的文件將會(huì)等待加密線(xiàn)程進(jìn)行加密。

ü  使用自旋鎖加密文件

在主線(xiàn)程中，主線(xiàn)程利用自旋鎖，將文件路徑壓入待加密文件隊(duì)列中。在加密線(xiàn)程中，加密線(xiàn)程同樣利用自旋鎖，讀取主線(xiàn)程壓入的文件路徑，進(jìn)行加密。

ü  加密文件添加勒索后綴

待加密文件進(jìn)行重命名，在文件名后添加.rhysida，如果命名失敗，則直接跳過(guò)加密環(huán)節(jié)。

寫(xiě)入勒索信

在C:/Users/Public寫(xiě)入文件CriticalBreachDetected.pdf，PDF內(nèi)容則是勒索信，其包含了暗網(wǎng)地址和登錄私鑰。

動(dòng)態(tài)生成勒索壁紙

設(shè)置勒索圖片背景的字體，創(chuàng)建并生成圖片C:/Users/Public/bg.jpg。

勒索圖片設(shè)置為Windows壁紙

通過(guò)修改注冊(cè)表，將釋放的勒索圖片設(shè)置為壁紙。

解決方案

ü  及時(shí)升級(jí)各安全廠(chǎng)家的病毒庫(kù)。

ü  以亞信安全為例：夢(mèng)蝶防病毒引擎可以檢測(cè)該類(lèi)型病毒，可檢測(cè)的病毒碼版本為1.6.0.183。

安全建議

ü  全面部署安全產(chǎn)品，保持相關(guān)組件及時(shí)更新；

ü  不要點(diǎn)擊來(lái)源不明的郵件附件以及郵件中包含的鏈接；

ü  請(qǐng)到正規(guī)網(wǎng)站下載程序；

ü  采用高強(qiáng)度的密碼，避免使用弱口令密碼，并定期更換密碼；

ü  盡量關(guān)閉不必要的端口及網(wǎng)絡(luò)共享；

ü  請(qǐng)注意備份重要文檔。備份的最佳做法是采取3-2-1規(guī)則，即至少做三個(gè)副本，用兩種不同格式保存，并將副本放在異地存儲(chǔ)。

IOCs