Home Rhysida Ransomware: A teljes útmutató

Rhysida Ransomware: A teljes útmutató

A Rhysida ransomware egy viszonylag új zsarolóprogram-csoport, amelyet először 2023 májusában figyeltek meg. A csoport „kiberbiztonsági csapatként” pozicionálja magát, és azt állítja, hogy szívességet tesz áldozatainak azzal, hogy megcélozza a rendszereiket, és kiemeli a lehetséges biztonsági problémákat. A zsarolóprogram még a fejlesztés korai szakaszában van, és hiányzik néhány, a mai ransomware-ben gyakran előforduló funkció. Azonban megfenyegeti az áldozatokat a kiszűrt adatok nyilvános terjesztésével, és a modern kettős zsaroló csoportokhoz igazítja azokat. A Rhysida ransomware elsősorban Windows rendszereket céloz, és a ChaCha20-at használja fájltitkosításra. Ez egy 64 bites hordozható végrehajtható (PE) Windows kriptográfiai ransomware alkalmazás, amelyet a MinGW/GCC segítségével állítottak össze. A csoportról ismert volt, hogy olyan szervezeteket céloz meg, mint például a Chilei Hadsereg, akik bizalmas dokumentumokat lopnak és szivárogtatnak ki. A SalvageData szakértői proaktív adatbiztonsági intézkedéseket javasolnak, mint például a rendszeres biztonsági mentések, az erős szoftverek, a dátumok és a kiberszoftverek védelme a gyakorlatban. támadások. És,ransomware támadás esetén lépjen kapcsolatba velünkransomware helyreállítási szakértőkazonnal.

Milyen rosszindulatú program a Rhysida?

A Rhysida egy ransomware, amely egy olyan típusú rosszindulatú program, amely titkosítja és zárolja az áldozatok fájljait, majd váltságdíjat kér a visszafejtési kulcsért cserébe. Ez egy 64 bites hordozható végrehajtható (PE) Windows kriptográfiai zsarolóprogram, amelyet a MinGW/GCC segítségével állítottak össze. A csoport elsősorban adathalász módszereket és RDP-alapú támadásokat használ a zsarolóprogramok terjesztésére. Miután a ransomware megfertőz egy rendszert, ChaCha20 titkosítást használ a fájlok titkosításához

Minden, amit a Rhysida Ransomware-ről tudunk

Megerősített név

  • Rhysida vírus

Fenyegetés típusa

  • Ransomware
  • Kriptovírus
  • Fájlszekrény
  • Kettős zsarolás

Titkosított fájlok kiterjesztés

  • .Rysida

Váltságdíjat követelő üzenet

  • CriticalBreachDetected.pdf

Elérhető ingyenes visszafejtő?Nem, a Rhysida ransomware-nek nincs dekódolójaÉszlelési nevek

  • AvastWin32:Dh-A [Heur]
  • AVGWin32:Dh-A [Heur]
  • EmsisoftTrojan.GenericKD.67412686 (B)
  • MalwarebytesMalware.AE.412050323225
  • KasperskyTrojan-Ransom.Win32.Encoder.ucn
  • SophosMal/Generic-S
  • MicrosoftTrójai: Win32/Leon

Elosztási módszerek

  • Adathalász e-mailek
  • Távoli asztali protokoll (RDP)

Következmények

  • A fájlok titkosítva vannak, és a váltságdíj kifizetéséig zárolva vannak
  • Adatszivárgás
  • Kettős zsarolás

Mi van a Rhysida váltságdíjban

A Rhysida váltságdíj-jegyzet szokatlan megközelítést alkalmaz más ransomware csoportokhoz képest. A váltságdíjban a támadók „kiberbiztonsági csapatként” mutatkoznak be, amely segítséget nyújt az áldozatoknak azáltal, hogy megcélozza rendszereiket, és rávilágít a lehetséges biztonsági problémákra. A váltságdíj-jegyzet tartalma tiszta szöveggel van beágyazva a binárisba, és PDF-dokumentumként van megírva.

Ha rájön, hogy zsarolóprogramok áldozata vagy, a SalvageData zsarolóprogram-eltávolító szakértőivel való kapcsolatfelvétel biztonságos adat-helyreállítási szolgáltatást és ransomware-eltávolítást biztosít a támadás után.

Hogyan fertőzi meg a rendszert a Rhysida ransomware?

A Rhysida ransomware elsősorban adathalász módszerekkel fertőzi meg a rendszereket, amelyek során ráveszik a felhasználókat, hogy rosszindulatú hivatkozásokra kattintsanak, vagy fertőzött fájlokat töltsenek le. A csoport RDP-alapú támadásokat is használ, amelyek magukban foglalják a Remote Desktop Protocol (RDP) sebezhetőségeinek kihasználását a rendszerekhez való hozzáférés érdekében. Miután a ransomware megfertőz egy rendszert, ChaCha20 titkosítást használ a fájlok titkosításához.

  • Adathalász e-mailek és közösségi manipuláció.Ez a két általános módszer, amelyet a kiberbűnözők használnak arra, hogy érzékeny információkat szerezzenek be egyénektől vagy szervezetektől.Adathalászata társadalmi manipuláció egy formája, amely e-maileket vagy rosszindulatú webhelyeket használ személyes adatok megszerzésére úgy, hogy megbízható szervezetnek adja ki magát. Az adathalász e-mailek gyakran sürgető érzést vagy félelmet tartalmaznak, amelyek azonnali cselekvésre késztetik a címzettet.Social engineeringA támadások során a támadó emberi interakciót alkalmaz, hogy információkat szerezzen vagy kompromittáljon egy szervezetről vagy számítógépes rendszereiről. A támadók új alkalmazottnak, javítónak vagy kutatónak adják ki magukat, és akár igazolványokat is felajánlhatnak identitásuk alátámasztására.
  • Remote Desktop Protocol (RDP).Ez a Microsoft Corporation által kifejlesztett szabadalmazott protokoll, amely grafikus felületet biztosít a felhasználónak, amellyel hálózati kapcsolaton keresztül csatlakozhat egy másik számítógéphez. Az RDP azonban gyakori célpontja azoknak a kiberbűnözőknek is, akik brute force támadásokat alkalmaznak a rendszerekhez való hozzáférés érdekében. A zsarolóvírus-változatok stratégiailag megcélozzák a hálózatokat a nem biztonságos RDP-portokon vagy a jelszó durva kényszerítésén keresztül.

Hogyan működik a Rhysida ransomware

A Rhysida ransomware úgy működik, hogy titkosítja a fertőzött rendszerek adatait, és fizetést követel a visszafejtéséért. Íme a Rhysida ransomware működésének lebontása:

Fertőzési módszerek

  • A fertőzött fájlok terjesztése.A Rhysida bűnözők olyan fertőzött fájlokat terjesztenek, amelyek zsarolóprogramokat tartalmaznak.
  • Rosszindulatú hiperhivatkozások.Az adathalász kampányokat arra használják, hogy rávegyék a felhasználókat, hogy olyan rosszindulatú hivatkozásokra kattintsanak, amelyek a zsarolóprogram letöltéséhez és végrehajtásához vezetnek.
  • RDP-alapú támadás.A Rhysida ransomware kihasználja a Remote Desktop Protocol (RDP) biztonsági réseit, hogy jogosulatlan hozzáférést szerezzen a rendszerekhez.

Titkosítás

  • Amint a zsarolóprogram megfertőz egy rendszert, ChaCha20 titkosítást használ az áldozat fájljainak titkosításához.
  • A titkosított fájlok elérhetetlenné válnak, és nem nyithatók meg vagy használhatók fel a visszafejtési kulcs nélkül.

Váltságdíj megjegyzés

  • A Rhysida ransomware váltságdíjat küld az áldozatnak, jellemzően PDF-dokumentum formájában.
  • A váltságdíj-jegyzet tartalmazhat utasításokat a váltságdíj kifizetésére vonatkozóan, és egyéb releváns információkat.

Fizetés és visszafejtés

  • A támadók fizetést követelnek az áldozattól a titkosított fájlok feloldásához szükséges dekódoló kulcsért cserébe.
  • Az áldozatokat gyakran arra utasítják, hogy a névtelenség megőrzése érdekében kriptovalutákkal, például Bitcoinnal fizessenek.

Ne fizesse ki a váltságdíjat!Ha kapcsolatba lép egy zsarolóprogram-eltávolító szolgáltatással, akkor nem csak a fájlokat állíthatja vissza, hanem eltávolíthatja a potenciális veszélyeket is.

További olvasnivalók:Snatch Ransomware: Teljes útmutató

Hogyan kezeljük a Rhysida ransomware támadást

A Rhysida támadásból való felépülés első lépése a fertőzött számítógép elkülönítése az internetről való leválasztással és a csatlakoztatott eszközök eltávolításával. Ezután kapcsolatba kell lépnie a helyi hatóságokkal. Az amerikai lakosok és vállalkozások esetében ez aaz FBI helyi irodájaés aInternet Crime Complaint Center (IC3).A ransomware támadás bejelentéséhez minden lehetséges információt össze kell gyűjtenie róla, beleértve:

  • Képernyőképek a váltságdíjról
  • Kommunikáció a fenyegetés szereplőivel (ha van ilyen)
  • Példa egy titkosított fájlból

Ha azonban úgy tetsziklépjen kapcsolatba a szakemberekkel, akkor ne csinálj semmit.Hagyjon minden fertőzött gépet úgy, ahogy vanés kérjen egysürgősségi ransomware-eltávolító szolgáltatás. A rendszer újraindítása vagy leállítása veszélyeztetheti a helyreállítási szolgáltatást. Az élő rendszer RAM-jának rögzítése segíthet a titkosítási kulcs megszerzésében, a dropper fájl elfogása, azaz a rosszindulatú rakományt végrehajtó fájl pedig visszafejthető, és az adatok visszafejtéséhez vagy működésének megértéséhez vezethet.ne törölje a ransomware-tés őrizze meg a támadás minden bizonyítékát. Ez azért fontosdigitális kriminalisztikaígy a szakértők visszavezethetik a hackercsoportot és azonosíthatják őket. A hatóságok a fertőzött rendszeren lévő adatok felhasználásával tehetik megvizsgálja ki a támadást és keresse meg a felelőst.A kibertámadások nyomozása nem különbözik bármely más bűnügyi nyomozástól: bizonyítékra van szükség a támadók megtalálásához.

1. Lépjen kapcsolatba az incidens-elhárítási szolgáltatóval

A Cyber ​​Incident Response a kiberbiztonsági incidensre adott válaszlépés és kezelés folyamata. Az Incident Response Retainer egy kiberbiztonsági szolgáltatóval kötött szolgáltatási szerződés, amely lehetővé teszi a szervezetek számára, hogy külső segítséget kapjanak a kiberbiztonsági incidensekkel kapcsolatban. Strukturált szakértelmet és támogatást biztosít a szervezeteknek egy biztonsági partneren keresztül, lehetővé téve számukra, hogy gyorsan és hatékonyan reagáljanak egy kiberincidens során. Az incidensreagálást biztosító rendszer nyugalmat biztosít a szervezeteknek, szakértői támogatást kínálva a kiberbiztonsági incidens előtt és után. Az incidensre adott válaszadó sajátos jellege és szerkezete a szolgáltatótól és a szervezet követelményeitől függően változik. A jó incidensreakció-megtartónak robusztusnak, de rugalmasnak kell lennie, és bevált szolgáltatásokat kell nyújtania a szervezet hosszú távú biztonsági helyzetének javítására.Ha felveszi a kapcsolatot IR szolgáltatójával, azonnal átvehetik az irányítást, és végigvezetik Önt a ransomware helyreállításának minden lépésén.Ha azonban úgy dönt, hogy saját maga eltávolítja a zsarolóprogramot, és visszaállítja a fájlokat informatikai csapatával, akkor kövesse a következő lépéseket.

2. Azonosítsa a ransomware fertőzést

A fájlkiterjesztés alapján azonosíthatja, hogy melyik ransomware fertőzte meg a gépét (egyes zsarolóprogramok a fájlkiterjesztést használják névként),ransomware ID eszköz segítségével, vagy ez lesz a váltságdíjban. Ezzel az információval megkereshet egy nyilvános visszafejtő kulcsot. A ransomware típusát az IOC-k alapján is ellenőrizheti. A kompromisszumjelzők (IOC) olyan digitális nyomok, amelyeket a kiberbiztonsági szakemberek a rendszerkompromittálások és a rosszindulatú tevékenységek azonosítására használnak a hálózati vagy informatikai környezetben. Ezek alapvetően a tetthelyen hagyott bizonyítékok digitális változatai, és a lehetséges IOC-k közé tartozik a szokatlan hálózati forgalom, a külföldi országokból származó privilegizált felhasználói bejelentkezések, furcsa DNS-kérések, rendszerfájl-módosítások stb. IOC észlelésekor a biztonsági csapatok értékelik a lehetséges fenyegetéseket, vagy ellenőrzik annak hitelességét. Az IOC-k arra is bizonyítékot szolgáltatnak, hogy mihez férhetett hozzá a támadó, ha behatolt a hálózatba.

Rhysida ransomware fájl kivonat

  • 3809c075dea5f17511b5945110f4d6b1ac92fab5
  • 1356a94f2295499f1eef98661a2042a3
  • f7c66ce4c357c3a7c44dda121f8bb6a62bb3e0bc6f481619b7b5ad83855d628b
  • e7962ab0304dedfc8bbead0e33c24d2bf7d07ca9
  • 7c0e5627fd25c40374bc22035d3fadd8
  • 052309916380ef609cacb7bafbd71dc54b57f72910dca9e5f0419204dba3841d
  • e5214ab93b3a1fc3993ef2b4ad04dfcc5400d5e2
  • 13546e9d36effa74f971d90687b60ea6
  • 69b3d913a3967153d1e91ba1a31ebed839b297ed
  • 338d4f4ec714359d589918cee1adad12ef231907
  • b07f6a5f61834a57304ad4d885bd37d8e1badba8

3. Távolítsa el a zsarolóprogramot, és távolítsa el a kizsákmányoló készleteket

Az adatok helyreállítása előtt garantálnia kell, hogy eszköze zsarolóprogram-mentes, és hogy a támadók nem tudnak új támadást végrehajtani kihasználó készleteken vagy más biztonsági réseken keresztül. A zsarolóprogram-eltávolító szolgáltatás törölheti a zsarolóprogramot, létrehozhat egy kriminalisztikai dokumentumot a nyomozáshoz, megszüntetheti a sebezhetőségeket, és helyreállíthatja az Ön adatait.

4. Használjon biztonsági másolatot az adatok visszaállításához

A biztonsági mentések az adatok helyreállításának leghatékonyabb módja. Ügyeljen arra, hogy az adathasználattól függően napi vagy heti biztonsági másolatot készítsen.

5. Vegye fel a kapcsolatot egy zsarolóprogram-helyreállító szolgáltatással

Ha nem rendelkezik biztonsági másolattal, vagy segítségre van szüksége a ransomware eltávolításához és a sebezhetőségek kiküszöböléséhez, lépjen kapcsolatba egy adat-helyreállító szolgáltatással. A váltságdíj kifizetése nem garantálja, hogy adatait visszaküldik Önnek. Minden fájl visszaállításának egyetlen garantált módja, ha biztonsági másolatot készít róla. Ha nem teszi meg, a zsarolóprogramok adat-helyreállítási szolgáltatásai segíthetnek a fájlok visszafejtésében és visszaállításában. A SalvageData szakértői biztonságosan visszaállíthatják a fájlokat, és megakadályozhatják, hogy a Rhysida ransomware ismét megtámadja a hálózatát. Vegye fel a kapcsolatot szakértőinkkel a hét minden napján, 24 órában a sürgősségi helyreállítási szolgáltatásért.

Akadályozza meg a Rhysifa ransomware támadást

A ransomware megelőzése az adatbiztonság legjobb megoldása. könnyebb és olcsóbb, mint felépülni belőlük. A Rhysida ransomware a vállalkozása jövőjébe kerülhet, és akár be is zárhatja az ajtókat. Íme néhány tipp annak biztosítására, hogyelkerülje a ransomware támadásokat:

  • Vírusirtó és kártevőirtó
  • Használjon kiberbiztonsági megoldásokat
  • Használjon erős jelszavakat
  • Frissített szoftver
  • Frissített operációs rendszer (OS)
  • Tűzfalak
  • Legyen a kezében egy helyreállítási terv (részletes útmutatónkban tekintse meg, hogyan hozhat létre adat-helyreállítási tervet)
  • Rendszeres biztonsági mentések ütemezése
  • Ne nyisson meg ismeretlen forrásból származó e-mail mellékletet
  • Ne töltsön le fájlokat gyanús webhelyekről
  • Ne kattintson a hirdetésekre, hacsak nem biztos benne, hogy biztonságos
  • Csak megbízható forrásból származó webhelyeket érjen el

Related Posts

A 8 legjobb IMEI feloldó szoftver az iPhone/Android feloldásához

A 8 legjobb IMEI feloldó szoftver az iPhone/Android feloldásához

2025-08-21
3 módszer az automatikus illesztőprogram

3 módszer az automatikus illesztőprogram

2025-05-08
Hogyan lehet kinyitni az Asus vivobook Windows 8 jelszavát

Hogyan lehet kinyitni az Asus vivobook Windows 8 jelszavát

2025-05-08
Hogyan lehet törölni a gyorsítótárat iPhone problémamentesen: lépésről lépésre a vizuális utasításokkal

Hogyan lehet törölni a gyorsítótárat iPhone problémamentesen: lépésről lépésre a vizuális utasításokkal

2024-01-23
Mik a zoom események és hogyan kell használni őket

Mik a zoom események és hogyan kell használni őket

2025-05-07
Javítás: Használjon állandó objektum-gyorsítótárat a WordPressben

Javítás: Használjon állandó objektum-gyorsítótárat a WordPressben

2024-12-28
Ingyenesen letölthető Windows 11 témák és felszínek

Ingyenesen letölthető Windows 11 témák és felszínek

2023-12-27
A Windows frissítési hiba javításának módja 0x800700A1

A Windows frissítési hiba javításának módja 0x800700A1

2025-05-09
A SharePoint Storage vezérlése verzióelőzmények korlátaival

A SharePoint Storage vezérlése verzióelőzmények korlátaival

2024-10-14
Az Apple Invites egy új alkalmazás, amely a meghívók küldésére és kezelésére szolgál

Az Apple Invites egy új alkalmazás, amely a meghívók küldésére és kezelésére szolgál

2025-02-05
A nem működő Windows 11 Snap elrendezések javítása

A nem működő Windows 11 Snap elrendezések javítása

2023-11-27
Hogyan lehet helyreállítani egy feltört Facebook

Hogyan lehet helyreállítani egy feltört Facebook

2025-02-01
Controller & Gamepad tesztelő

Controller & Gamepad tesztelő

2024-12-03
A mikrofon engedélyezése / bekapcsolása a Windows 10

A mikrofon engedélyezése / bekapcsolása a Windows 10

2025-05-08
Hogyan lehet törölni a gyorsítótárat iPhone problémamentesen: lépésről lépésre a vizuális utasításokkal

Hogyan lehet törölni a gyorsítótárat iPhone problémamentesen: lépésről lépésre a vizuális utasításokkal

2024-01-23