一款名为Rapid的勒索软件正在迅速传播
2017年勒索软件成为安全界的一个热门关注点,很多安全公司预测2018年它仍会是危害用户安全的一个重点。近期安全人员发现,一款名为Rapid的勒索软件正在快速传播,与以往多数勒索软件不同的是,它不仅会对计算机上已有的文件进行加密,还会对新创建的任何文件进行加密。许多关于勒索软件的贴吧中出现用户针对Rapid加密文件如何解密的求助信息。
暂时还不清楚Rapid恶意软件是如何传播的,但从一月份开始,他已经感染了很多人。根据ID-Ransomeware的统计(如上图),第一个提交的案例是在1月3日,之后提交的有超过300个,这只是受害者中的一小部分。
Rapid恶意软件是如何对计算机实施加密的?
当恶意软件运行时,它就会清除Windows卷影拷贝、终止数据库进程和禁用自动修复。被终止的进程为:sql.exe、sqlite.exe及oracle.com,并执行下列命令:
vssadmin.exe Delete Shadow /All /Quiet
cmd.exe /Cbcdedit /set {default} recoveryenabled No
cmd.exe/C bcdedit /set {default} bootstatuspolicy ignoreallfailures
一旦这些命令被执行,恶意软件就会扫描计算机进行加密,当文件被加密后,其文件名就会被添加.rapid扩展名,如下图:
当恶意软件完成对计算机的加密时,将在各个文件夹中创建名为“HowRecovery Files.txt”的勒索提示文件,文件中包含一个电子邮件,让受害者联系如何完成付款。恶意软件也会创建启动,在重启后加载勒索提示文件,Rapid恶意软件不会免费对文件解密,除非完成支付。显示的提示信息内容如下:
Rapid的IOC信息
哈希值:
125c2bcb0cd05512391a695f907669b2f55a8b69c9d4df2ce1b6c9c5a1395b61
关联文件:
%AppData%info.exe
%AppData%HowRecovery Files.txt
%AppData%recovery.txt
关联的注册表信息:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"Encrypter"="%AppData%info.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"userinfo"="%AppData%recovery.txt"
相关邮件地址:
frenkmoddy@tuta.io
jpcrypt@rape.lol
support@fbamasters.com
unlockforyou@india.com
rapid@rape.lol
fileskey@qq.com
fileskey@cock.li
Rapid勒索软件提示信息:
Hello!
All your fileshave been encrypted by us
Ifyou want restore files write on e-mail - frenkmoddy@tuta.io
感染Rapid勒索软件后要怎么办?
受害者如果发现Rapid恶意软件对计算机进行加密后,应尽快打开Windows进程管理器,终止关联的恶意进程。如果计算机没有被重启,运行的进程名称可能为任意名称,如样本的名称为rapid.exe(如下图)。如果受害者计算机已经被重启,这个进程名称可能被命名为info.exe。
一旦终止了进程,然后启动msconfig.exe禁止启动项,如果不能进到任务管理器,就重启进入网络联接安全模式(Safe Mode with Networking),然后再进行尝试。
为避免计算机被勒索软件感染,应该养成良好的使用习惯,安装安全防护软件、做好数据备份等。可参考“Howto Protect and Harden a Computer against Ransomware”这篇文章。
*参考网站:BleepingComputer,编译JingleCats,转载请注明FreeBuf.COM
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- 一文说清楚Mysql Innodb的B+树索引原理及其推理过程
- [Oracle数据泵全解析]expdp交互式命令行模式命令
- SpringBoot Feign文件上传
- Docker_000
- 如何应对面试官的JVM调优问题
- Docker_001
- Docker_002
- [PyQt Tutorial]2.一个Hello World程序
- Oracle设置开机自启
- Go_学习之Docke容器
- zabbix 监控项
- [PyQt Tutorial]4.使用Qt Designer
- [PyQt Tutorial]5.Signals & Slots(信号与槽)
- Docker数据共享与持久化
- [PyQt Tutorial]6.Layout Management(布局管理)