Home Rhysida Ransomware: Visas vadovas

Rhysida Ransomware: Visas vadovas

Rhysida ransomware yra palyginti nauja išpirkos reikalaujančių programų grupė, kuri pirmą kartą buvo pastebėta 2023 m. gegužės mėn. Grupė pozicionuoja save kaip „kibernetinio saugumo komanda“ ir teigia, kad daro savo aukoms paslaugą, taikydama savo sistemas ir pabrėždama galimas saugumo problemas. Išpirkos reikalaujanti programinė įranga vis dar yra ankstyvoje kūrimo stadijoje ir joje trūksta kai kurių šiuo metu dažniausiai naudojamų funkcijų. Tačiau ji kelia grėsmę aukoms viešu išfiltruotų duomenų platinimu, suderindama juos su šiuolaikinėmis dvigubo turto prievartavimo grupėmis. „Rhysida ransomware“ pirmiausiai taikosi į „Windows“ sistemas ir failams šifruoti naudoja ChaCha20. Tai 64 bitų nešiojama vykdomoji (PE) „Windows“ kriptografinė išpirkos reikalaujanti programa, sudaryta naudojant MinGW/GCC. Buvo žinoma, kad ši grupė taikosi į tokias organizacijas kaip Čilės armija, vagia ir nutekina neskelbtinus dokumentus. „SalvageData“ ekspertai rekomenduoja imtis aktyvių duomenų saugos priemonių, pvz., reguliarių atsarginių kopijų kūrimo, tvirtos programinės įrangos, datos ir programinės įrangos apsaugos nuo praktikos. išpuolių. ir,išpirkos reikalaujančios programinės įrangos atakos atveju susisiekite su mūsųransomware atkūrimo ekspertainedelsiant.

Kokia kenkėjiška programa yra Rhysida?

„Rhysida“ yra išpirkos reikalaujanti programa, kuri yra kenkėjiškų programų rūšis, kuri užšifruoja ir užrakina aukų failus, o paskui prašo išpirkos mainais už iššifravimo raktą. Tai 64 bitų nešiojama vykdomoji (PE) „Windows“ kriptografinė išpirkos reikalaujanti programa, sukurta naudojant MinGW/GCC. Grupė pirmiausia naudoja sukčiavimo metodus ir KPP pagrįstus išpuolius, kad platintų išpirkos reikalaujančią programinę įrangą. Kai išpirkos reikalaujanti programa užkrečia sistemą, ji naudoja ChaCha20 šifravimą failams užšifruoti

Viskas, ką žinome apie Rhysida Ransomware

Patvirtintas vardas

  • Rhysida virusas

Grėsmės tipas

  • Ransomware
  • Kripto virusas
  • Failų spintelė
  • Dvigubas turto prievartavimas

Šifruotų failų plėtinys

  • .Rysida

Išpirkos reikalaujantis pranešimas

  • CriticalBreachDetected.pdf

Ar yra nemokamas iššifruotojas?Ne, Rhysida ransomware neturi iššifruotojoAptikimo vardai

  • AvastWin32: Dh-A [Heur]
  • AVGWin32: Dh-A [Heur]
  • EmsisoftTrojan.GenericKD.67412686 (B)
  • MalwarebytesKenkėjiška programa.AE.412050323225
  • KasperskyTrojan-Ransom.Win32.Encoder.ucn
  • SophosMal/Generic-S
  • MicrosoftTrojos arklys: Win32/Leon

Paskirstymo būdai

  • Sukčiavimo el. laiškai
  • Nuotolinio darbalaukio protokolas (RDP)

Pasekmės

  • Failai yra užšifruoti ir užrakinti iki išpirkos mokėjimo
  • Duomenų nutekėjimas
  • Dvigubas turto prievartavimas

Kas yra Rhysida išpirkos raštelyje

„Rhysida“ išpirkos raštas yra neįprastas, palyginti su kitomis išpirkos programų grupėmis. Išpirkos rašte užpuolikai prisistato kaip „kibernetinio saugumo komanda“, siūlanti pagalbą aukoms, nukreipdama į jų sistemas ir pabrėždama galimas saugumo problemas. Išpirkos raštelio turinys įterpiamas į dvejetainį tekstą ir yra parašytas kaip PDF dokumentas.

Jei suprantate, kad esate išpirkos reikalaujančių programų auka, susisiekę su „SalvageData“ išpirkos reikalaujančių programų pašalinimo ekspertais suteiksite saugią duomenų atkūrimo paslaugą ir išpirkos reikalaujančių programų pašalinimą po atakos.

Kaip Rhysida ransomware užkrečia sistemą

Rhysida ransomware pirmiausia užkrečia sistemas sukčiavimo metodais, kurie apima naudotojų apgaudinėjimą spustelėti kenkėjiškas nuorodas arba atsisiųsti užkrėstus failus. Grupė taip pat naudoja KPP pagrįstus išpuolius, kurie apima nuotolinio darbalaukio protokolo (RDP) pažeidžiamumo išnaudojimą, kad gautų prieigą prie sistemų. Kai išpirkos reikalaujanti programa užkrečia sistemą, ji naudoja ChaCha20 šifravimą failams užšifruoti.

  • Sukčiavimo el. laiškai ir socialinė inžinerija.Tai du įprasti metodai, kuriuos naudoja kibernetiniai nusikaltėliai, norėdami gauti neskelbtinos informacijos iš asmenų ar organizacijų.Sukčiavimasyra socialinės inžinerijos forma, kuri naudoja el. paštą arba kenkėjiškas svetaines, kad gautų asmeninę informaciją, apsimesdama patikima organizacija. Sukčiavimo el. laiškuose dažnai jaučiamas skubos jausmas arba baimė, todėl gavėjas raginamas nedelsiant imtis veiksmų.Socialinė inžinerijaatakos apima užpuoliką, kuris naudojasi žmogaus sąveika, siekdamas gauti arba pažeisti informaciją apie organizaciją ar jos kompiuterines sistemas. Užpuolikai gali pasirodyti naujais darbuotojais, remontuojančiais asmenimis ar tyrinėtojais ir netgi pasiūlyti įgaliojimus, patvirtinančius tą tapatybę.
  • Nuotolinio darbalaukio protokolas (RDP).Tai patentuotas „Microsoft Corporation“ sukurtas protokolas, suteikiantis vartotojui grafinę sąsają prisijungti prie kito kompiuterio tinklo ryšiu. Tačiau KPP taip pat yra dažnas kibernetinių nusikaltėlių, naudojančių brutalios jėgos atakas, taikinys, kad gautų prieigą prie sistemų. Ransomware variantai strategiškai nukreipia tinklus per nesaugius KPP prievadus arba žiauriai priversdami slaptažodį.

Kaip veikia Rhysida ransomware

Rhysida ransomware veikia šifruodama užkrėstų sistemų duomenis ir reikalaudama sumokėti už jos iššifravimą. Štai kaip veikia Rhysida ransomware:

Infekcijos metodai

  • Užkrėstų failų platinimas.„Rhysida“ nusikaltėliai platina užkrėstus failus, kuriuose yra išpirkos reikalaujančių programų.
  • Kenkėjiški hipersaitai.Sukčiavimo kampanijos naudojamos siekiant priversti vartotojus spustelėti kenkėjiškas nuorodas, kurios veda į išpirkos reikalaujančios programos atsisiuntimą ir vykdymą.
  • KPP pagrįstas puolimas.Rhysida ransomware pasinaudoja nuotolinio darbalaukio protokolo (RDP) pažeidžiamumu, kad gautų neteisėtą prieigą prie sistemų.

Šifravimas

  • Kai išpirkos reikalaujanti programa užkrečia sistemą, ji naudoja ChaCha20 šifravimą aukos failams užšifruoti.
  • Užšifruoti failai tampa nepasiekiami ir negali būti atidaryti arba naudojami be iššifravimo rakto.

Išpirkos pastaba

  • Rhysida ransomware pateikia aukai išpirkos raštelį, paprastai PDF dokumento forma.
  • Išpirkos raštelyje gali būti nurodymai, kaip sumokėti išpirką, ir kita svarbi informacija.

Mokėjimas ir iššifravimas

  • Užpuolikai reikalauja iš aukos sumokėti už iššifravimo raktą, reikalingą užšifruotiems failams atrakinti.
  • Siekiant išlaikyti anonimiškumą, aukoms dažnai nurodoma atlikti mokėjimą naudojant kriptovaliutas, tokias kaip Bitcoin.

Nemokėkite išpirkos!Kreipdamiesi į išpirkos reikalaujančių programų pašalinimo paslaugą galite ne tik atkurti failus, bet ir pašalinti bet kokią galimą grėsmę.

Daugiau skaitymo:Snatch Ransomware: Visas vadovas

Kaip susidoroti su Rhysida ransomware ataka

Pirmasis žingsnis norint atsigauti po Rhysida atakos yra izoliuoti užkrėstą kompiuterį, atsijungiant nuo interneto ir pašalinant bet kokį prijungtą įrenginį. Tada turite susisiekti su vietos valdžios institucijomis. JAV gyventojų ir įmonių atveju tai yravietos FTB biurasirInterneto nusikaltimų skundų centras (IC3).Norėdami pranešti apie išpirkos reikalaujančios programos ataką, turite surinkti visą informaciją apie ją, įskaitant:

  • Išpirkos užrašo ekrano nuotraukos
  • Bendravimas su grėsmės veikėjais (jei tokių turite)
  • Šifruoto failo pavyzdys

Tačiau, jei noritesusisiekti su specialistais, tada nieko nedaryk.Palikite kiekvieną užkrėstą įrenginį tokį, koks jis yrair paprašyti anavarinio išpirkos reikalaujančių programų pašalinimo paslauga. Sistemos paleidimas iš naujo arba išjungimas gali pakenkti atkūrimo paslaugai. Užfiksavus veikiančios sistemos RAM gali būti lengviau gauti šifravimo raktą, o užfiksavus dropper failą, t. y. failą, vykdantį kenkėjišką naudingą apkrovą, gali būti atlikta atvirkštinė inžinerija ir gali būti iššifruoti duomenys arba suprasti, kaip jis veikia.neištrinti išpirkos reikalaujančios programosir saugokite visus išpuolio įrodymus. Tai svarbu dėlskaitmeninė kriminalistikakad ekspertai galėtų atsekti įsilaužėlių grupę ir juos identifikuoti. Institucijos gali naudoti užkrėstos sistemos duomenisištirti užpuolimą ir surasti atsakingąjį.Kibernetinės atakos tyrimas nesiskiria nuo bet kurio kito kriminalinio tyrimo: norint surasti užpuolikus, reikia įrodymų.

1. Susisiekite su savo Reagavimo į incidentus teikėją

Reagavimas į kibernetinį incidentą – tai reagavimo į kibernetinio saugumo incidentą ir jo valdymo procesas. Reagavimo į incidentus saugotojas yra paslaugų sutartis su kibernetinio saugumo tiekėju, leidžianti organizacijoms gauti išorinę pagalbą kibernetinio saugumo incidentams. Ji suteikia organizacijoms struktūrizuotą patirtį ir paramą per saugos partnerį, leidžiančią joms greitai ir efektyviai reaguoti kibernetinio incidento metu. Reagavimo į incidentą laikiklis suteikia organizacijoms ramybę ir siūlo ekspertų pagalbą prieš ir po kibernetinio saugumo incidento. Specifinis reagavimo į incidentą laikytojo pobūdis ir struktūra skirsis priklausomai nuo teikėjo ir organizacijos reikalavimų. Geras reagavimo į incidentus laikiklis turėtų būti tvirtas, bet lankstus ir teikti patikrintas paslaugas, kurios pagerintų organizacijos ilgalaikę apsaugą.Jei susisieksite su savo IR paslaugų teikėju, jis gali nedelsdamas perimti ir padėti atlikti kiekvieną išpirkos reikalaujančių programų atkūrimo veiksmą.Tačiau jei nuspręsite patys pašalinti išpirkos reikalaujančią programinę įrangą ir atkurti failus kartu su IT komanda, galite atlikti kitus veiksmus.

2. Nustatykite išpirkos reikalaujančią programinę įrangą

Galite nustatyti, kuri išpirkos reikalaujanti programa užkrėtė jūsų kompiuterį pagal failo plėtinį (kai kurios išpirkos reikalaujančios programos naudoja failo plėtinį kaip savo pavadinimą),naudojant ransomware ID įrankį, arba tai bus ant išpirkos raštelio. Turėdami šią informaciją galite ieškoti viešojo iššifravimo rakto. Taip pat galite patikrinti išpirkos reikalaujančios programos tipą pagal jo IOC. Kompromiso rodikliai (IOC) yra skaitmeniniai užuominos, kurias kibernetinio saugumo specialistai naudoja norėdami nustatyti sistemos pažeidimus ir kenkėjišką veiklą tinkle ar IT aplinkoje. Iš esmės tai yra skaitmeninės įrodymų, paliktų nusikaltimo vietoje, versijos, o potencialūs IOC apima neįprastą tinklo srautą, privilegijuotus vartotojų prisijungimus iš užsienio šalių, keistas DNS užklausas, sistemos failų pakeitimus ir kt. Kai aptinkamas IOC, saugos komandos įvertina galimas grėsmes arba patvirtina jos autentiškumą. IOC taip pat pateikia įrodymų, prie ko užpuolikas turėjo prieigą, jei įsiskverbė į tinklą.

Rhysida ransomware failų maišos

  • 3809c075dea5f17511b5945110f4d6b1ac92fab5
  • 1356a94f2295499f1eef98661a2042a3
  • f7c66ce4c357c3a7c44dda121f8bb6a62bb3e0bc6f481619b7b5ad83855d628b
  • e7962ab0304dedfc8bbead0e33c24d2bf7d07ca9
  • 7c0e5627fd25c40374bc22035d3fadd8
  • 052309916380ef609cacb7bafbd71dc54b57f72910dca9e5f0419204dba3841d
  • e5214ab93b3a1fc3993ef2b4ad04dfcc5400d5e2
  • 13546e9d36effa74f971d90687b60ea6
  • 69b3d913a3967153d1e91ba1a31ebed839b297ed
  • 338d4f4ec714359d589918cee1adad12ef231907
  • b07f6a5f61834a57304ad4d885bd37d8e1badba8

3. Pašalinkite išpirkos reikalaujančią programinę įrangą ir pašalinkite išnaudojimo rinkinius

Prieš atkurdami duomenis, turite užtikrinti, kad jūsų įrenginyje nėra išpirkos reikalaujančių programų ir kad užpuolikai negalės surengti naujos atakos naudodami išnaudojimo rinkinius ar kitus pažeidžiamumus. Išpirkos reikalaujančių programų pašalinimo paslauga gali ištrinti išpirkos reikalaujančią programinę įrangą, sukurti teismo ekspertizės dokumentą tyrimui, pašalinti pažeidžiamumą ir atkurti jūsų duomenis.

4. Norėdami atkurti duomenis, naudokite atsarginę kopiją

Atsarginės kopijos yra efektyviausias būdas atkurti duomenis. Atsižvelgdami į duomenų naudojimą, būtinai darykite atsargines kopijas kasdien arba kas savaitę.

5. Susisiekite su išpirkos reikalaujančių programų atkūrimo tarnyba

Jei neturite atsarginės kopijos arba jums reikia pagalbos pašalinant išpirkos reikalaujančią programinę įrangą ir pažeidžiamumą, susisiekite su duomenų atkūrimo tarnyba. Išpirkos sumokėjimas negarantuoja, kad jūsų duomenys bus jums grąžinti. Vienintelis garantuotas būdas atkurti kiekvieną failą yra turėti atsarginę jo kopiją. Jei to nepadarysite, išpirkos reikalaujančios programinės įrangos duomenų atkūrimo paslaugos gali padėti iššifruoti ir atkurti failus. „SalvageData“ ekspertai gali saugiai atkurti failus ir neleisti „Rhysida“ išpirkos reikalaujančios programinės įrangos vėl užpulti jūsų tinklo. Susisiekite su mūsų ekspertais 24 valandas per parą, 7 dienas per savaitę, kad gautumėte skubios pagalbos atkūrimo paslaugą.

Užkirsti kelią Rhysifa ransomware atakai

Išpirkos reikalaujančių programų prevencija yra geriausias duomenų saugumo sprendimas. yra lengviau ir pigiau nei atsigauti nuo jų. Rhysida ransomware gali kainuoti jūsų verslo ateitį ir netgi uždaryti duris. Tai yra keli patarimai, kaip užtikrinti, kadišvengti ransomware atakų:

  • Antivirusinė ir kenkėjiška programa
  • Naudokite kibernetinio saugumo sprendimus
  • Naudokite stiprius slaptažodžius
  • Atnaujinta programinė įranga
  • Atnaujinta operacinė sistema (OS)
  • Ugniasienės
  • Turėkite atkūrimo planą (žr. mūsų išsamų vadovą, kaip sukurti duomenų atkūrimo planą)
  • Suplanuokite reguliarias atsargines kopijas
  • Neatidarykite el. laiško priedo iš nežinomo šaltinio
  • Nesisiųskite failų iš įtartinų svetainių
  • Nespauskite skelbimų, nebent nesate tikri, kad tai saugu
  • Pasiekite svetaines tik iš patikimų šaltinių

Related Posts

Kaip išjungti pranešimus ir peržiūrėti „Android“ telefoną

Kaip išjungti pranešimus ir peržiūrėti „Android“ telefoną

2025-05-07
Kaip patikrinti savo viešbučio kambarį, ar nėra paslėptų fotoaparatų, ir būkite saugūs keliaudami keliaudami

Kaip patikrinti savo viešbučio kambarį, ar nėra paslėptų fotoaparatų, ir būkite saugūs keliaudami keliaudami

2025-02-19
Kaip nustatyti failų serverį „Windows“ serveryje

Kaip nustatyti failų serverį „Windows“ serveryje

2025-05-05
Kaip ištaisyti „Dell“ palaikymą, kai jis įstrigo sukasi

Kaip ištaisyti „Dell“ palaikymą, kai jis įstrigo sukasi

2025-04-08
„CrackStreams“ alternatyvos: protingesni būdai žiūrėti tiesioginius žaidimus be chaoso

„CrackStreams“ alternatyvos: protingesni būdai žiūrėti tiesioginius žaidimus be chaoso

2025-09-29
Kaip įjungti SSH namų asistentui

Kaip įjungti SSH namų asistentui

2025-01-30
Kaip iš naujo nustatyti MFA Office 365

Kaip iš naujo nustatyti MFA Office 365

2024-09-03
Paaiškintos visos UniFi VPN parinktys

Paaiškintos visos UniFi VPN parinktys

2024-09-04
Linux patarimai, vadovėliai, apžvalgos ir kt

Linux patarimai, vadovėliai, apžvalgos ir kt

2024-12-04
6 geriausios finansuojamos prekybininkų programos jūsų pajamoms auginti (2023)

6 geriausios finansuojamos prekybininkų programos jūsų pajamoms auginti (2023)

2025-08-06
Kaip legaliai gauti Windows 10 nemokamai

Kaip legaliai gauti Windows 10 nemokamai

2024-12-11
Ei, mes visi dalykai. Jūsų „Ultimate Tech“ kaip centras.

Ei, mes visi dalykai. Jūsų „Ultimate Tech“ kaip centras.

2025-04-28
Kaip ištaisyti „Access“ klaidą „Steam“ kompiuteryje

Kaip ištaisyti „Access“ klaidą „Steam“ kompiuteryje

2024-09-30
Kaip ištaisyti „VMware Horizon“ klientą, neveikiantį „WiFi“

Kaip ištaisyti „VMware Horizon“ klientą, neveikiantį „WiFi“

2025-04-20
Geriausios nemokamos tarpinio serverio svetainės, skirtos saugiai naršyti

Geriausios nemokamos tarpinio serverio svetainės, skirtos saugiai naršyti

2025-03-05