Rhysida 勒索病毒技术分析

Rhysida 勒索病毒技术分析


Rhysida是一种新的勒索病毒变种,于2023年第二季度出现。Rhysida勒索病毒的首次提及是在2023年5月由MalwareHunterTeam所发表样本的时间戳为2023年5月16日。截至2023年10月12日,该勒索病毒的泄露网站包含超过50家被攻击的各类机构名单,包括政府、医疗和IT行业。

2023年10月16日Rhysida数据泄露网站的截图

Rhysida勒索病毒的受害者可以直接联系Avast专家,电邮至decryptorsatavastdotcom,以进行免费咨询,了解如何减轻攻击造成的损害。

Rhysida加密器分析

Rhysida加密器为32位或64位的Windows PE档案,使用MinGW GNU版本630编译,并由GNU链接器v 230链接。第一个公共版本是一个调试版本,这使得其分析变得更容易。

在加密操作中,Rhysida使用了LibTomCrypt库的版本1181。在多线程和同步操作中,Rhysida使用了winpthreads库。随机数生成方面使用Chacha20伪随机数生成器,用于生成随机数,如AES加密密钥、AES初始化向量和RSAOAEP加密的随机填充。公开的RSA密钥是硬编码在二进制档案中使用ASN1编码,并通过rsaimport函数载入。每个样本有不同的嵌入RSA密钥。

加密器可支持以下命令行参数:

d 指定要加密的目录名称。如果省略,则会加密所有驱动器以字母识别 sr 在文件加密后启用自我删除 nobg 禁用设置桌面背景 S 当此参数存在时,Rhysida将创建一个计划任务,在操作系统启动时以系统帐户执行 md5 当此参数存在时,Rhysida将在加密每个文件之前计算MD5哈希。然而,这个功能尚未完全实现MD5是计算出来的,但在后续并未被使用。

当执行时,加密器将查询系统中的处理器数量。此值用于:

分配随机数生成器每个处理器一个 创建Encryptor线程每个处理器一个

多线程加密的初始化

此外,Rhysida还创建了一个File Enumerator线程,通过字母搜索所有可用的磁碟驱动器。在2023年7月之前的二进制档案按正常顺序枚举驱动器从A到Z;2023年7月1日之后的二进制档案则以反向顺序枚举驱动器从Z到A。

File Enumerator线程搜索要加密的文件,并将它们放入一个同步列表中,准备被其中一个Encryptor线程提取。系统关键文件夹中的文件,以及运行操作系统和程序所需的文件均被排除在加密之外。

被跳过的目录列表:

/RecycleBin /Boot /Documents and Settings /PerfLogs /Program Files

/Program Files (x86)

/ProgramData

/Recovery /System Volume Information /Windows /RECYCLEBIN

被跳过的文件类型列表:

bat bin cab cd com cur dagaba diagcfg

diagpkg

drv

dll exe hlp hta ico lnk msi

ocx

ps1

psm1 scr sys ini Thumbsdb url iso

此外,通常名为CriticalBreachDetectedpdf的赎金通知文件也被排除在加密文件列表之外。赎金通知文件的PDF内容是硬编码在二进制文件中,会被丢到每个文件夹中。以下图片显示了来自2023年9月版本的勒索通知示例:

除了丢下赎金通知外,如果在配置中启用,Rhysida还会生成一张JPEG图片,存储在C/Users/Public/bgjpg。该勒索病毒的早期版本生成的图片存在不必要的伪影,但在Rhysida的后期版本中已经修正。下图展示了一张此类JPEG图片的示例:

飞鱼npv加速器

该图片被设置为受感染设备的桌面背景。为此,会透过systemC语言相当于CreateProcess调用外部过程:

Rhysida可能会根据配置和二进制版本执行其他操作,包括:

Rhysida 勒索病毒技术分析

使用以下命令删除影子副本:cmdexe /c vssadminexe Delete Shadows /All /Quiet

使用此命令删除事件日志:cmdexe /c for /F tokens= 1 in (wevtutilexe el) DO wevtutilexe cl 1

通过PowerShell命令自我删除:cmdexe /c start powershellexe WindowStyle Hidden Command Sleep Milliseconds 500 RemoveItem Force Path BINARYNAME ErrorAction SilentlyContinue

在Windows启动时重新创建计划任务:cmdexe /c start powershellexe WindowStyle Hidden Command “Sleep Milliseconds 1000 schtasks /end /tn Rhsd schtasks /delete /tn Rhsd /f schtasks /create /sc ONSTART /tn Rhsd /tr ”

使用以下命令删除计划任务:cmdexe /c start powershellexe WindowStyle Hidden Command Sleep Milliseconds 1000 schtasks /delete /tn Rhsd /f

Rhysida如何加密文件

为了达到最高的加密速度,Rhysida的加密由多个Encryptor线程执行。大于1 MB1048576字节的文件被划分为24个块,每个块仅加密1 MB的数据。以下表格显示了块数、每个块的大小和加密部分的长度的概览:

文件大小 块数 块大小 加密长度 0 1 MB 1 整个文件 整个块 1 2 MB 1 整个文件 1048576 2 3 MB 2 文件大小 / 2 1048576 3 4 MB 3 文件大小 / 3 1048576 gt 4MB 4 文件大小 / 4 1048576

表1:文件大小、块数、块长度和加密长度。

加密文件的过程中执行了多个步骤:

将文件重命名为以“rhysida”结尾。 通过以下序列获取文件大小。请注意,早期版本的勒索病毒包含一个错误,导致忽略文件大小的上32位。在Rhysida的后期版本中,这个错误已被修正。

根据文件大小,Rhysida计算出数量和长度,如表1所示。 生成32字节的文件加密密钥和16字节的AES256流密码的初始化向量,这是使用与Encryptor线程相关的随机数生成器生成的。 使用AES256在CTR模式下加密文件。 文件加密密钥和IV通过RSA4096的OAEP填充进行加密,并储存到文件尾结构中。 这个文件尾被附加到加密文件的末尾:

结论

Rhysida是一种相对新颖的勒索病毒,但已经有一长串被攻击的机构。截至2023年10月,该病毒仍在活跃开发中。

Rhysida勒索病毒的受害者可以联系我们,电邮至decryptorsatavastdotcom,以获取有关如何减轻攻击造成的损害的咨询。

标签:decryptor、decryptors、ransomware

分享:XFacebook

2025-01-23 17:21:04

DDoS是非法的吗:关于这一网络安全风险您需要了解的一切
  • 2025-01-23 16:55:48

目录DDoS 是否非法:个人与专业服务如何理解 DDoS黑客为什么进行 DDoS 攻击如何防止 DDoS 攻击VPN 能否防止 DDoS 攻击?总结常见问题你可能成为了 DDoS 攻击 的受害者。但你...

VPN 是否会消耗电池寿命?
  • 2025-01-23 17:33:40

VPN是否会耗电?隐私新闻技巧与方法8分钟阅读2024年5月15日 作者 Atika Lim 在Facebook分享在Twitter分享在Whatsapp分享在Telegram分享通过电子邮件分享VP...