Genel Bakış

Rhysida Ransomware, Mayıs 2023'ten bu yana aktif olan ve özellikle sağlık, eğitim ve kamu sektörlerini hedefleyen gelişmiş bir fidye yazılımıdır. Bu örnekte tespit edilen v0.1 versiyonu; Tor ağı üzerinden çalışan bir C2 portalı, AES+RSA hibrit şifreleme, PDF formatında fidye notu ve masaüstü arka planını değiştirme gibi özellikler içermektedir.

⚠️ Bu analiz, açık kaynak istihbarat yöntemleriyle yürütülmüştür. C2 adresi aktif tehdit içerdiğinden asla ziyaret edilmemelidir.

Teknik Analiz

Kimlik Bilgileri (Binary İçinde Sabit Kodlu)

Tor Portalı: rhysidafohrhyy2aszi7bm32tnjat5xri65fopcxkdfxhi4tidsg7cad.onion
Gizli Anahtar: 6F2PQ14O2POZ1JB5PSD65HUJP19Y9DU1
Versiyon: Rhysida-0.1

Fidye Notu İçeriği

"Our team has developed a unique key, specifically designed to restore your digital security. This key represents the first and most crucial step in recovering from this situation. To utilize this key, visit our secure portal: [onion adresi] with your secret key 6F2PQ14O2POZ1JB5PSD65HUJP19Y9DU1. It's vital to note that any attempts to decrypt the encrypted files independently could lead to permanent data loss."

Fidye notu hem TXT hem PDF formatında oluşturulmaktadır (__NOTE_NAME_PDF, __NOTE_PDF, __NOTE_TXT).

Şifreleme Mekanizması

  • AES (CBC/ECB/XTS/LRW modları): 파일 içeriklerinin şifrelenmesi
  • RSA: AES anahtarının şifrelenerek saklanması
  • Rastgele anahtar üretimi: CryptAcquireContextA + CryptGenRandom
  • Config yapısı: cipher_key, cipher_key_length, cipher_key_crypted_length

Kurban Sistemi Manipülasyonu

  • Masaüstü arka planı değiştirme: rundll32.exe user32.dll,UpdatePerUserSystemParameters
  • PowerShell ile öz silme: cmd.exe /c start powershell.exe -WindowStyle Hidden -Command Sleep -Milliseconds 500; Remove-Item -Force -Path "[exe yolu]"
  • 파일 sorgulama: QUERY_FILES ile hedef dosyaların listelenmesi

Teknik 속성ler

속성
아키텍처PE32+ (x86-64) / MinGW-w64 GCC
Section Sayısı17 (çok sayıda idata/refptr bölümü)
VersiyonRhysida-0.1
C2 프로토콜Tor (.onion)
ŞifrelemeAES (çoklu mod) + RSA
Ransom Not FormatıPDF + TXT

IOC Özeti

  • Tor C2: rhysidafohrhyy2aszi7bm32tnjat5xri65fopcxkdfxhi4tidsg7cad.onion
  • Gizli Anahtar: 6F2PQ14O2POZ1JB5PSD65HUJP19Y9DU1
  • SHA256: 67a78b39e760e3460a135a7e486e33db2aa97ac455b13f6ef5d1a38c4ef2e779

IOC 목록 (2 개 지표)

IOC — Rhysida
# SHA256 67a78b39e760e3460a135a7e486e33db2aa97ac455b13f6ef5d1a38c4ef2e779 # DOMAIN rhysidafohrhyy2aszi7bm32tnjat5xri65fopcxkdfxhi4tidsg7cad.onion
유형메모
sha256 67a78b39e760e3460a135a7e486e33db2aa97ac455b13f6ef5d1a38c4ef2e779
domain rhysidafohrhyy2aszi7bm32tnjat5xri65fopcxkdfxhi4tidsg7cad.onion

C2 서버 (이 패밀리에 대해 1개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
rhysidafohrhyy2aszi7bm32tnjat5xri65fopcxkdfxhi4tidsg7cad.onion domain 80 custom inactive —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
ransomwarerhysidatoronionaesrsapdf-ransom-notewallpaperself-deletepowershellgccmingw