Home Rhysida Ransomware: la guida completa

Rhysida Ransomware: la guida completa

Rhysida ransomware è un gruppo di ransomware relativamente nuovo che è stato osservato per la prima volta nel maggio 2023. Il gruppo si posiziona come un "team di sicurezza informatica" e afferma di fare un favore alle vittime prendendo di mira i loro sistemi ed evidenziando potenziali problemi di sicurezza. Il ransomware è ancora nelle prime fasi di sviluppo e manca di alcune funzionalità comunemente presenti nei ransomware odierni. Tuttavia, minaccia le vittime con la distribuzione pubblica dei dati esfiltrati, allineandoli ai moderni gruppi di doppia estorsione. Il ransomware Rhysida prende di mira principalmente i sistemi Windows e utilizza ChaCha20 per la crittografia dei file. Si tratta di un'applicazione ransomware crittografica Windows Portable Executable (PE) a 64 bit compilata utilizzando MinGW/GCC. È noto che il gruppo prende di mira organizzazioni come l'esercito cileno, rubando e diffondendo documenti sensibili. Gli esperti di SalvageData raccomandano misure proattive di sicurezza dei dati, come backup regolari, solide pratiche di sicurezza informatica e mantenimento del software aggiornato, per proteggersi dagli attacchi ransomware. E,in caso di attacco ransomware contattare il nsesperti di recupero ransomwareimmediatamente.

Che tipo di malware è Rhysida?

Rhysida è un ransomware, ovvero un tipo di malware che crittografa e blocca i file delle vittime e quindi richiede un riscatto in cambio della chiave di decrittazione. È un'applicazione ransomware crittografica Windows Portable Executable (PE) a 64 bit compilata utilizzando MinGW/GCC. Il gruppo utilizza principalmente metodi di phishing e attacchi basati su RDP per distribuire il ransomware. Una volta che il ransomware infetta un sistema, utilizza la crittografia ChaCha20 per crittografare i file

Tutto quello che sappiamo su Rhysida Ransomware

Nome confermato

  • Virus Rhysida

Tipo di minaccia

  • Ransomware
  • Criptovirus
  • Armadietto dei file
  • Doppia estorsione

Estensione file crittografati

  • .Rysida

Messaggio di richiesta di riscatto

  • CriticalBreachDetected.pdf

È disponibile un decryptor gratuito?No, il ransomware Rhysida non ha un decryptorNomi di rilevamento

  • AvastWin32:Dh-A [Heur]
  • AVGWin32:Dh-A [Heur]
  • EmsisoftTrojan.GenericKD.67412686 (B)
  • MalwarebytesMalware.AI.4120503725
  • KasperskyTrojan-Ransom.Win32.Encoder.ucn
  • SophosMal/Generico-S
  • MicrosoftTrojan:Win32/Leon

Metodi di distribuzione

  • E-mail di phishing
  • Protocollo desktop remoto (RDP)

Conseguenze

  • I file vengono crittografati e bloccati fino al pagamento del riscatto
  • Perdita di dati
  • Doppia estorsione

Cosa c'è nella richiesta di riscatto di Rhysida

La richiesta di riscatto Rhysida adotta un approccio insolito rispetto ad altri gruppi di ransomware. Nella richiesta di riscatto, gli aggressori si presentano come un “team di sicurezza informatica” che offre aiuto alle vittime prendendo di mira i loro sistemi ed evidenziando potenziali problemi di sicurezza. Il contenuto della richiesta di riscatto è incorporato nel codice binario in chiaro ed è scritto come documento PDF.

Se ti accorgi di essere vittima di un ransomware, contattare gli esperti di rimozione del ransomware SalvageData ti fornirà un servizio sicuro di recupero dati e rimozione del ransomware dopo un attacco.

In che modo il ransomware Rhysida infetta un sistema

Il ransomware Rhysida infetta i sistemi principalmente attraverso metodi di phishing, che consistono nell'ingannare gli utenti a fare clic su collegamenti dannosi o a scaricare file infetti. Il gruppo utilizza anche attacchi basati su RDP, che implicano lo sfruttamento delle vulnerabilità del Remote Desktop Protocol (RDP) per ottenere l'accesso ai sistemi. Una volta che il ransomware infetta un sistema, utilizza la crittografia ChaCha20 per crittografare i file.

  • E-mail di phishing e ingegneria sociale.Questi sono due metodi comuni utilizzati dai criminali informatici per ottenere informazioni sensibili da individui o organizzazioni.Phishingè una forma di ingegneria sociale che utilizza e-mail o siti Web dannosi per richiedere informazioni personali fingendosi un'organizzazione affidabile. Le e-mail di phishing spesso contengono un senso di urgenza o paura tale da indurre il destinatario ad agire immediatamente.Ingegneria socialegli attacchi coinvolgono un utente malintenzionato che utilizza l'interazione umana per ottenere o compromettere informazioni su un'organizzazione o sui suoi sistemi informatici. Gli aggressori possono spacciarsi per nuovi dipendenti, addetti alle riparazioni o ricercatori e persino offrire credenziali per supportare tale identità.
  • Protocollo desktop remoto (RDP).Si tratta di un protocollo proprietario sviluppato da Microsoft Corporation che fornisce all'utente un'interfaccia grafica per connettersi a un altro computer tramite una connessione di rete. Tuttavia, l’RDP è anche un obiettivo comune per i criminali informatici che utilizzano attacchi di forza bruta per ottenere l’accesso ai sistemi. Le varianti del ransomware prendono di mira strategicamente le reti attraverso porte RDP non protette o forzando la password.

Come funziona il ransomware Rhysida

Il ransomware Rhysida funziona crittografando i dati sui sistemi infetti e richiedendo un pagamento per la sua decrittazione. Ecco una ripartizione di come funziona il ransomware Rhysida:

Metodi di infezione

  • Diffusione di file infetti.I criminali Rhysida distribuiscono file infetti che contengono il payload del ransomware.
  • Collegamenti ipertestuali dannosi.Le campagne di phishing vengono utilizzate per indurre gli utenti a fare clic su collegamenti dannosi che portano al download e all'esecuzione del ransomware.
  • Assalto basato su RDP.Il ransomware Rhysida sfrutta le vulnerabilità del Remote Desktop Protocol (RDP) per ottenere l'accesso non autorizzato ai sistemi.

Crittografia

  • Una volta che il ransomware ha infettato un sistema, utilizza la crittografia ChaCha20 per crittografare i file della vittima.
  • I file crittografati diventano inaccessibili e non possono essere aperti o utilizzati senza la chiave di decrittazione.

Nota di riscatto

  • Il ransomware Rhysida presenta una richiesta di riscatto alla vittima, solitamente sotto forma di documento PDF.
  • La richiesta di riscatto può contenere istruzioni su come pagare il riscatto e altre informazioni rilevanti.

Pagamento e decrittazione

  • Gli aggressori richiedono un pagamento alla vittima in cambio della chiave di decrittazione necessaria per sbloccare i file crittografati.
  • Alle vittime viene spesso chiesto di effettuare il pagamento utilizzando criptovalute come Bitcoin per mantenere l'anonimato.

Non pagare il riscatto!Contattando un servizio di rimozione ransomware puoi non solo ripristinare i tuoi file ma anche rimuovere qualsiasi potenziale minaccia.

Altre letture:Snatch Ransomware: guida completa

Come gestire un attacco ransomware Rhysida

Il primo passo per riprendersi da un attacco Rhysida è isolare il computer infetto disconnettendosi da Internet e rimuovendo qualsiasi dispositivo connesso. Successivamente è necessario contattare le autorità locali. Nel caso dei residenti e delle imprese statunitensi, è ilufficio locale dell'FBIe ilCentro reclami sulla criminalità su Internet (IC3).Per segnalare un attacco ransomware è necessario raccogliere tutte le informazioni possibili al riguardo, tra cui:

  • Screenshot della richiesta di riscatto
  • Comunicazioni con gli autori delle minacce (se ne hai)
  • Un campione di un file crittografato

Tuttavia, se preferiscicontattare i professionisti, quindi non fare nulla.Lascia ogni macchina infetta così com’èe chiedi unservizio di rimozione ransomware di emergenza. Il riavvio o l'arresto del sistema potrebbe compromettere il servizio di ripristino. Catturare la RAM di un sistema live può aiutare a ottenere la chiave di crittografia e catturare un file dropper, ovvero un file che esegue il payload dannoso, potrebbe essere sottoposto a ingegneria inversa e portare alla decrittografia dei dati o alla comprensione di come funziona. È necessarionon eliminare il ransomwaree conservare ogni prova dell'attacco. Questo è importante perforense digitalein modo che gli esperti possano risalire al gruppo di hacker e identificarli. È utilizzando i dati presenti sul sistema infetto che le autorità possono farloindagare sull'attacco e trovare il responsabile.Un'indagine su un attacco informatico non è diversa da qualsiasi altra indagine penale: ha bisogno di prove per trovare gli aggressori.

1. Contatta il tuo fornitore di risposta agli incidenti

Una risposta agli incidenti informatici è il processo di risposta e gestione di un incidente di sicurezza informatica. Un Incident Response Retainer è un contratto di servizio con un fornitore di sicurezza informatica che consente alle organizzazioni di ottenere aiuto esterno in caso di incidenti di sicurezza informatica. Fornisce alle organizzazioni una forma strutturata di competenza e supporto attraverso un partner di sicurezza, consentendo loro di rispondere in modo rapido ed efficace durante un incidente informatico. Un servizio di risposta agli incidenti offre tranquillità alle organizzazioni, offrendo supporto esperto prima e dopo un incidente di sicurezza informatica. La natura e la struttura specifica di un servizio di risposta agli incidenti varierà a seconda del fornitore e dei requisiti dell'organizzazione. Un buon servizio di risposta agli incidenti dovrebbe essere robusto ma flessibile, fornendo servizi comprovati per migliorare la posizione di sicurezza a lungo termine di un’organizzazione.Se contatti il ​​tuo fornitore di servizi IR, potrà subentrare immediatamente e guidarti attraverso ogni fase del ripristino del ransomware.Tuttavia, se decidi di rimuovere tu stesso il ransomware e di ripristinare i file con il tuo team IT, puoi seguire i passaggi successivi.

2. Identificare l'infezione ransomware

Puoi identificare quale ransomware ha infettato il tuo computer dall'estensione del file (alcuni ransomware utilizzano l'estensione del file come nome),utilizzando uno strumento ID ransomware, o sarà sulla richiesta di riscatto. Con queste informazioni, puoi cercare una chiave di decrittazione pubblica. Puoi anche verificare il tipo di ransomware tramite i suoi IOC. Gli indicatori di compromesso (IOC) sono indizi digitali che i professionisti della sicurezza informatica utilizzano per identificare compromissioni del sistema e attività dannose all'interno di una rete o di un ambiente IT. Si tratta essenzialmente di versioni digitali delle prove lasciate sulla scena del crimine e i potenziali IOC includono traffico di rete insolito, accessi di utenti privilegiati da paesi stranieri, strane richieste DNS, modifiche ai file di sistema e altro ancora. Quando viene rilevato un IOC, i team di sicurezza valutano le possibili minacce o ne convalidano l'autenticità. Gli IOC forniscono anche prove di ciò a cui un utente malintenzionato ha avuto accesso se si è infiltrato nella rete.

Hash dei file del ransomware Rhysida

  • 3809c075dea5f17511b5945110f4d6b1ac92fab5
  • 1356a94f2295499f1eef98661a2042a3
  • f7c66ce4c357c3a7c44dda121f8bb6a62bb3e0bc6f481619b7b5ad83855d628b
  • e7962ab0304dedfc8bbead0e33c24d2bf7d07ca9
  • 7c0e5627fd25c40374bc22035d3fadd8
  • 052309916380ef609cacb7bafbd71dc54b57f72910dca9e5f0419204dba3841d
  • e5214ab93b3a1fc3993ef2b4ad04dfcc5400d5e2
  • 13546e9d36effa74f971d90687b60ea6
  • 69b3d913a3967153d1e91ba1a31ebed839b297ed
  • 338d4f4ec714359d589918cee1adad12ef231907
  • b07f6a5f61834a57304ad4d885bd37d8e1badba8

3. Rimuovere il ransomware ed eliminare gli exploit kit

Prima di recuperare i tuoi dati, devi garantire che il tuo dispositivo sia privo di ransomware e che gli aggressori non possano sferrare un nuovo attacco tramite exploit kit o altre vulnerabilità. Un servizio di rimozione ransomware può eliminare il ransomware, creare un documento forense per le indagini, eliminare le vulnerabilità e recuperare i tuoi dati.

4. Utilizzare un backup per ripristinare i dati

I backup sono il modo più efficiente per ripristinare i dati. Assicurati di conservare backup giornalieri o settimanali, a seconda dell'utilizzo dei dati.

5. Contatta un servizio di recupero ransomware

Se non disponi di un backup o hai bisogno di aiuto per rimuovere il ransomware ed eliminare le vulnerabilità, contatta un servizio di recupero dati. Il pagamento del riscatto non garantisce che i tuoi dati ti verranno restituiti. L'unico modo garantito per ripristinare ogni file è se ne hai un backup. In caso contrario, i servizi di recupero dati ransomware possono aiutarti a decrittografare e recuperare i file. Gli esperti di SalvageData possono ripristinare in sicurezza i tuoi file e impedire al ransomware Rhysida di attaccare nuovamente la tua rete. Contatta i nostri esperti 24 ore su 24, 7 giorni su 7 per il servizio di recupero di emergenza.

Previeni l'attacco del ransomware Rhysifa

Prevenire il ransomware è la soluzione migliore per la sicurezza dei dati. è più facile ed economico che recuperarli. Il ransomware Rhysida può costare il futuro della tua azienda e persino chiudere i battenti. Questi sono alcuni suggerimenti per assicurarti di poterlo fareevitare attacchi ransomware:

  • Antivirus e antimalware
  • Utilizza soluzioni di sicurezza informatica
  • Utilizza password complesse
  • Software aggiornato
  • Sistema operativo aggiornato (OS)
  • Firewall
  • Tieni a portata di mano un piano di ripristino (scopri come creare un piano di ripristino dei dati con la nostra guida approfondita)
  • Pianifica backup regolari
  • Non aprire un allegato e-mail da una fonte sconosciuta
  • Non scaricare file da siti Web sospetti
  • Non fare clic sugli annunci se non sei sicuro che sia sicuro
  • Accedi solo a siti Web provenienti da fonti affidabili

Related Posts

Recenti ragioni per cui le persone usano VPN in tutto il mondo: cosa mostrano i dati

Recenti ragioni per cui le persone usano VPN in tutto il mondo: cosa mostrano i dati

2025-05-27
Come ottenere/annullare la prenotazione dell'aggiornamento a Windows 10

Come ottenere/annullare la prenotazione dell'aggiornamento a Windows 10

2025-04-30
Come nascondere gli elementi del pannello di controllo specifici in Windows 10/8/7

Come nascondere gli elementi del pannello di controllo specifici in Windows 10/8/7

2025-05-08
Come trovare e rimuovere la password predefinita per iTunes Cripted Backup

Come trovare e rimuovere la password predefinita per iTunes Cripted Backup

2025-04-30
Crea un'immagine Windows personalizzata con app preinstallate

Crea un'immagine Windows personalizzata con app preinstallate

2024-02-28
Test di velocità di Internet

Test di velocità di Internet

2025-04-17
Ultimi suggerimenti e guide pratiche per utenti desktop e smartphone

Ultimi suggerimenti e guide pratiche per utenti desktop e smartphone

2024-12-14
Articoli d'ufficio

Articoli d'ufficio

2025-01-05
Come guardare HBO Max al di fuori degli Stati Uniti

Come guardare HBO Max al di fuori degli Stati Uniti

2025-08-06
[Aggiornamento del software] CCLeaner 6.32.11432 rilasciato, ecco cosa è nuovo e fisso

[Aggiornamento del software] CCLeaner 6.32.11432 rilasciato, ecco cosa è nuovo e fisso

2025-01-23
Articoli su Windows 11

Articoli su Windows 11

2024-12-12
Cos'è Indiegogo, il sito di crowdfunding

Cos'è Indiegogo, il sito di crowdfunding

2025-01-29
Perché dovresti proteggere la tua rete IoT

Perché dovresti proteggere la tua rete IoT

2025-02-18
Recensioni degli strumenti

Recensioni degli strumenti

2024-12-30
Come correggere l'errore di aggiornamento di Windows 0x800705b4

Come correggere l'errore di aggiornamento di Windows 0x800705b4

2025-03-18