NiO+H2 =△= Rhysida

据媒体传说，某能源建设单位数据在某网上被黑客以50某某币拍卖，笔者晚上刚和一群老伙计扯了一段XXX掩耳盗铃的故事，这就来了一个传说。这篇文章因美的被勒索事件而写，本文正文只是引用。

据知道创宇暗网雷达监测，中国能源建设集团的相关数据正在暗网上被黑客以 50 比特币的价格拍卖。据悉，该黑客团伙被称为 Rhysida，他们声称窃取了大量“独家且令人印象深刻的数据”，并以 50 比特币的价格拍卖。Rhysida 的计划是将被盗数据出售给单一买家，并可能在公告发布后的7天内公布相关数据。公开资料显示，中国能源建设集团有限公司成立于2011年， 是集电力和能源规划咨询、勘测设计、工程承包、装备制造、投资运营等于一体的完整业务链的特大型骨干企业，是我国和世界能源建设的主力军。从黑客发布的截图上来看，此次泄露的数据中包含财务数据、设计图纸、职工信息等等。

http://www.hackdig.com/11/hack-1151150.htm

笔者临时找到了三个Rhysida组织的样本，写了条检测规则，供有需求者，如有不全可再联系全程包邮。

Yara

rule RansomWare_Rhysida_Win{    meta:        description = "Rhysida group"        author = "virk"        thread_level = 10        in_the_wild = true    strings:    $a = {48 83 FF 01 74 ?? 48 83 FF 02 74 ?? 48 83 FF 03 74 ?? 48 83 FF 04 74 ?? 48 83 FF 05 74 ?? 48 83 FF 06 74}    $b = {41 72 69 61 6C 2E 74 74 66}    condition:         (uint16(0) == 0x5A4D) and  (uint32(uint32(0x3C)) == 0x00004550) and $a and $b

原文始发于微信公众号（锐眼安全实验室）：NiO+H2 =△= Rhysida