Το Rhino είναι ένα νέο κακόβουλο λογισμικό, που αναγνωρίστηκε για πρώτη φορά τον Απρίλιο του 2020, το οποίο έχει αναλυθεί από το VMRay Labs στο ιστολόγιό τους. Το τελευταίο δείγμα (εκ των οποίων ήταν η βάση για ανάλυση) ανακαλύφθηκε από τον χρήστη Twitter @GrujaRS στις 4 Μαΐου.
Το εν λόγω λογισμικό εμπίπτει στην κατηγορία Ransomware και διαθέτει πολλές δυνατότητες, όπως, απενεργοποίηση υπηρεσιών, παρεμπόδιση της ανάκτησης αντιγράφων ασφαλείας, διαγραφή σκιωδών αντιγράφων και επιμονή.
Το πρώτο βήμα της μόλυνσης απενεργοποιεί αρκετές υπηρεσίες Windows Security and Defender, καθώς και την υπηρεσία Windows Update και αναφορές σφαλμάτων. Επιπλέον, το ransomware επιχειρεί να σταματήσει το Microsoft Exchange, το sqlserver και το sqlwriter. Η διακοπή αυτών των υπηρεσιών οδηγεί τους ερευνητές να πιστεύουν ότι τα στοχευόμενα θύματα θα μπορούσαν να είναι επιχειρήσεις. Το επόμενο βήμα είναι η διαγραφή σκιωδών αντιγράφων και του εφεδρικού καταλόγου, καθώς και η Λειτουργία ανάκτησης των Windows. Η επιμονή επιτυγχάνεται μέσω καταχώρησης μητρώου και αντιγραφής στον κατάλογο% AppData% ως mshtop32bit.exe. Μετά την κρυπτογράφηση αρχείων, προστίθεται ένας δείκτης αρχείου "Marvel01. Μια σημείωση email περιλαμβάνεται στη σημείωση email λύτρων. Οι εξαιρούμενοι τύποι αρχείων είναι .EXE, .SYS, .LNK, .DLL, .MSI και οι σημειώσεις του ransomware.
Περισσότερες λεπτομέρειες μπορούν να μπορείτε να βρείτε στην αναφορά που βρίσκεται στην ενότητα αναφοράς παρακάτω
https://www.vmray.com/cyber-security-blog/rhino-ransomware-malware-analysis-spotlight/