Rhysida是一种新的勒索病毒变种，于2023年第二季度出现。Rhysida勒索病毒的首次提及是在2023年5月由MalwareHunterTeam所发表样本的时间戳为2023年5月16日。截至2023年10月12日，该勒索病毒的泄露网站包含超过50家被攻击的各类机构名单，包括政府、医疗和IT行业。

2023年10月16日Rhysida数据泄露网站的截图

Rhysida勒索病毒的受害者可以直接联系Avast专家，电邮至decryptorsatavastdotcom，以进行免费咨询，了解如何减轻攻击造成的损害。

Rhysida加密器分析

Rhysida加密器为32位或64位的Windows PE档案，使用MinGW GNU版本630编译，并由GNU链接器v 230链接。第一个公共版本是一个调试版本，这使得其分析变得更容易。

在加密操作中，Rhysida使用了LibTomCrypt库的版本1181。在多线程和同步操作中，Rhysida使用了winpthreads库。随机数生成方面使用Chacha20伪随机数生成器，用于生成随机数，如AES加密密钥、AES初始化向量和RSAOAEP加密的随机填充。公开的RSA密钥是硬编码在二进制档案中使用ASN1编码，并通过rsaimport函数载入。每个样本有不同的嵌入RSA密钥。

加密器可支持以下命令行参数：

d 指定要加密的目录名称。如果省略，则会加密所有驱动器以字母识别 sr 在文件加密后启用自我删除 nobg 禁用设置桌面背景 S 当此参数存在时，Rhysida将创建一个计划任务，在操作系统启动时以系统帐户执行 md5 当此参数存在时，Rhysida将在加密每个文件之前计算MD5哈希。然而，这个功能尚未完全实现MD5是计算出来的，但在后续并未被使用。

当执行时，加密器将查询系统中的处理器数量。此值用于：

分配随机数生成器每个处理器一个 创建Encryptor线程每个处理器一个

多线程加密的初始化

此外，Rhysida还创建了一个File Enumerator线程，通过字母搜索所有可用的磁碟驱动器。在2023年7月之前的二进制档案按正常顺序枚举驱动器从A到Z；2023年7月1日之后的二进制档案则以反向顺序枚举驱动器从Z到A。

File Enumerator线程搜索要加密的文件，并将它们放入一个同步列表中，准备被其中一个Encryptor线程提取。系统关键文件夹中的文件，以及运行操作系统和程序所需的文件均被排除在加密之外。

被跳过的目录列表：

/RecycleBin /Boot /Documents and Settings /PerfLogs /Program Files

/Program Files (x86)

/ProgramData

/Recovery /System Volume Information /Windows /RECYCLEBIN

被跳过的文件类型列表：

bat bin cab cd com cur dagaba diagcfg

diagpkg

drv

dll exe hlp hta ico lnk msi

ocx

ps1

psm1 scr sys ini Thumbsdb url iso

此外，通常名为CriticalBreachDetectedpdf的赎金通知文件也被排除在加密文件列表之外。赎金通知文件的PDF内容是硬编码在二进制文件中，会被丢到每个文件夹中。以下图片显示了来自2023年9月版本的勒索通知示例：

除了丢下赎金通知外，如果在配置中启用，Rhysida还会生成一张JPEG图片，存储在C/Users/Public/bgjpg。该勒索病毒的早期版本生成的图片存在不必要的伪影，但在Rhysida的后期版本中已经修正。下图展示了一张此类JPEG图片的示例：

飞鱼npv加速器

该图片被设置为受感染设备的桌面背景。为此，会透过systemC语言相当于CreateProcess调用外部过程：

Rhysida可能会根据配置和二进制版本执行其他操作，包括：

使用以下命令删除影子副本：cmdexe /c vssadminexe Delete Shadows /All /Quiet

使用此命令删除事件日志：cmdexe /c for /F tokens= 1 in (wevtutilexe el) DO wevtutilexe cl 1

通过PowerShell命令自我删除：cmdexe /c start powershellexe WindowStyle Hidden Command Sleep Milliseconds 500 RemoveItem Force Path BINARYNAME ErrorAction SilentlyContinue

在Windows启动时重新创建计划任务：cmdexe /c start powershellexe WindowStyle Hidden Command “Sleep Milliseconds 1000 schtasks /end /tn Rhsd schtasks /delete /tn Rhsd /f schtasks /create /sc ONSTART /tn Rhsd /tr ”

使用以下命令删除计划任务：cmdexe /c start powershellexe WindowStyle Hidden Command Sleep Milliseconds 1000 schtasks /delete /tn Rhsd /f

Rhysida如何加密文件

为了达到最高的加密速度，Rhysida的加密由多个Encryptor线程执行。大于1 MB1048576字节的文件被划分为24个块，每个块仅加密1 MB的数据。以下表格显示了块数、每个块的大小和加密部分的长度的概览：

文件大小 块数 块大小 加密长度 0 1 MB 1 整个文件 整个块 1 2 MB 1 整个文件 1048576 2 3 MB 2 文件大小 / 2 1048576 3 4 MB 3 文件大小 / 3 1048576 gt 4MB 4 文件大小 / 4 1048576

表1：文件大小、块数、块长度和加密长度。

加密文件的过程中执行了多个步骤：

将文件重命名为以“rhysida”结尾。 通过以下序列获取文件大小。请注意，早期版本的勒索病毒包含一个错误，导致忽略文件大小的上32位。在Rhysida的后期版本中，这个错误已被修正。

根据文件大小，Rhysida计算出数量和长度，如表1所示。 生成32字节的文件加密密钥和16字节的AES256流密码的初始化向量，这是使用与Encryptor线程相关的随机数生成器生成的。 使用AES256在CTR模式下加密文件。 文件加密密钥和IV通过RSA4096的OAEP填充进行加密，并储存到文件尾结构中。 这个文件尾被附加到加密文件的末尾：

结论

Rhysida是一种相对新颖的勒索病毒，但已经有一长串被攻击的机构。截至2023年10月，该病毒仍在活跃开发中。

Rhysida勒索病毒的受害者可以联系我们，电邮至decryptorsatavastdotcom，以获取有关如何减轻攻击造成的损害的咨询。

标签：decryptor、decryptors、ransomware

分享：XFacebook