Rhysida是一种新兴的勒索软件，可以加密受害者的数据，并要求支付赎金以恢复访问。该软件由一个未知的犯罪团伙开发和使用，自2023年5月以来已经对多个组织发动了攻击，涉及教育、医疗、政府等多个行业。暗网网站还提供了一些Rhysida勒索软件的样本信息和截图，显示其使用了AES256和RSA2048算法进行加密，并使用了一个名为“RySida”(RySida)的后缀来标记被加密的文件。

某科技公司专注于提供创新性的软件解决方案，是一家在行业领先的企业，然而该公司不幸成为了勒索组织攻击的目标之一。赤豹终端安全软件在新型勒索软件造成大规模破坏之前，展现了优秀的检测能力，成功发现并阻止了Rhysida新型勒索软件在其内网服务器上的执行，为用户的核心资产安全提供了坚实的保障。

下图为赤豹终端安全软件检测Rhysida勒索软件截图：

该新型勒索组织本身喜欢冒充网络安全组织，如下面的勒索信所示。他们声称已经损害了公司并愿意帮助解决问题。

上图为勒索信截图

该样本文件具有反调试功能，发现安全人员在调试该样本文件，就直接退出。

该样本文件使用了与CreateRemoteThread类似的SetThreadContext远程注入方式进行进程启动。

该样本中文件目录排除列表是操作系统运行所需的常用系统目录：

加密模块分析如下：

1. 排除文件后缀进行加密：

.bat .bin .cab .cmd .com .cur .diagcab .diagcfg, .diagpkg .drv .dll .exe .hlp .hta .ico .lnk .msi .ocx .ps1 .psm1 .scr .sys .ini thumbs .db .url .iso and .cab

2.  加密算法：

这次获取Rhysida样本文件的加密算法比较简单，采用ChaCha20加密算法。Rhysida 将枚举从“A:”到“Z:”驱动器的目录中的目录和文件，确保它们从“排除列表”中排除，然后即加密文件。加密后，该文件将被重命名为“<文件名>.rhysida”。

3.  勒索信内容如下：

加密后，勒索软件将通过创建并打开PDF格式的勒索信和计算机桌面壁纸来显示勒索信息。通常名为“CriticalBreachDetected.pdf”的PDF是使用勒索软件二进制文件中嵌入的内容生成的，包括PDF和勒索信息（如上所示）。勒索信息还用于以计算机背景壁纸的形式生成一条消息，通常位于“C:/Users/Public/bg.jpg”。

安装江民反病毒产品并将病毒库升级为最新版本，开启文件监控并定期进行全盘扫描。

不要点击带有八卦热门话题类型的邮件附件。

在使用移动介质前，应对移动介质内文件进行扫描确认不携带病毒文件。

及时更新操作系统及应用软件补丁，防止漏洞利用攻击。

为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。

不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。

定期进行目标机器的异常检查，包括是否出现新增账户、Guest是否被启用、系统日志是否存在异常、杀毒软件是否存在异常拦截等。

江民赤豹反病毒实验室专注反病毒技术研究，拥有自主研发的文件威胁检测引擎、AI威胁检测引擎、流迭代威胁检测引擎等多款反病毒引擎产品，形成了全平台的恶意代码防御体系，并针对日新月异的网络安全环境，提供安全事件应急响应、恶意代码分析处置等多种全服务。江民赤豹反病毒实验室致力于提供全面、系统、一体化的网络安全防护，为客户提供强大的技术支撑。