Rhysida - это относительно новый вариант ransomware, появившийся, согласно нашей телеметрии, в мае этого года. Он обладает всеми типичными характеристиками многих современных семейств ransomware: распространяется как Ransomware as a Service (RaaS), работает со скрытым сервисом TOR, использует LibTomCrypt и т.д.
Однако в Rhysida есть несколько особенностей, на которые стоит обратить внимание. Прежде всего, самоуничтожение происходит путем выполнения в системе команды PowerShell.
Использование PowerShell в Rhysida
Во-вторых, она по-прежнему поддерживает версии Windows до Windows 10, поскольку папка Documents and Settings исключается из процесса шифрования. В-третьих, вредоносная программа написана на языке C++ и по умолчанию компилируется с помощью MinGW с разделяемыми библиотеками. Это означает, что данные библиотеки должны присутствовать в системе на момент исполнения.
Как уже было сказано выше, Rhysida появилась сравнительно недавно, о чем свидетельствует не только количество жертв на ее onion-сайте, но и тот факт, что конфигурация onion-сервера изначально содержала ошибки, раскрывавшие конфиденциальные данные. Группа, создавшая Rhysida, довольно быстро исправила эти ошибки.
Indicators of Compromise
MD5
- 0c8e88877383ccd23a755f429006b437
- 274be1fac3bab38af7483a476a2dea90
- 36d142294f1ca4c4768dbe15b6553975
