一款名为Rapid的勒索软件正在迅速传播

2017年勒索软件成为安全界的一个热门关注点,很多安全公司预测2018年它仍会是危害用户安全的一个重点。近期安全人员发现,一款名为Rapid的勒索软件正在快速传播,与以往多数勒索软件不同的是,它不仅会对计算机上已有的文件进行加密,还会对新创建的任何文件进行加密。许多关于勒索软件的贴吧中出现用户针对Rapid加密文件如何解密的求助信息。

暂时还不清楚Rapid恶意软件是如何传播的,但从一月份开始,他已经感染了很多人。根据ID-Ransomeware的统计(如上图),第一个提交的案例是在1月3日,之后提交的有超过300个,这只是受害者中的一小部分。

Rapid恶意软件是如何对计算机实施加密的?

当恶意软件运行时,它就会清除Windows卷影拷贝、终止数据库进程和禁用自动修复。被终止的进程为:sql.exe、sqlite.exe及oracle.com,并执行下列命令:

vssadmin.exe Delete Shadow /All /Quiet
cmd.exe /Cbcdedit /set {default} recoveryenabled No
cmd.exe/C bcdedit /set {default} bootstatuspolicy ignoreallfailures

一旦这些命令被执行,恶意软件就会扫描计算机进行加密,当文件被加密后,其文件名就会被添加.rapid扩展名,如下图:

当恶意软件完成对计算机的加密时,将在各个文件夹中创建名为“HowRecovery Files.txt”的勒索提示文件,文件中包含一个电子邮件,让受害者联系如何完成付款。恶意软件也会创建启动,在重启后加载勒索提示文件,Rapid恶意软件不会免费对文件解密,除非完成支付。显示的提示信息内容如下:

Rapid的IOC信息

哈希值:

125c2bcb0cd05512391a695f907669b2f55a8b69c9d4df2ce1b6c9c5a1395b61

关联文件:

%AppData%\info.exe
%AppData%\HowRecovery Files.txt
%AppData%\recovery.txt

关联的注册表信息:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"Encrypter"="%AppData%\info.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"userinfo"="%AppData%\recovery.txt"

相关邮件地址:

frenkmoddy@tuta.io
jpcrypt@rape.lol
support@fbamasters.com
unlockforyou@india.com
rapid@rape.lol
fileskey@qq.com
fileskey@cock.li

Rapid勒索软件提示信息:

Hello!
All your fileshave been encrypted by us
Ifyou want restore files write on e-mail - frenkmoddy@tuta.io

感染Rapid勒索软件后要怎么办?

受害者如果发现Rapid恶意软件对计算机进行加密后,应尽快打开Windows进程管理器,终止关联的恶意进程。如果计算机没有被重启,运行的进程名称可能为任意名称,如样本的名称为rapid.exe(如下图)。如果受害者计算机已经被重启,这个进程名称可能被命名为info.exe。

一旦终止了进程,然后启动msconfig.exe禁止启动项,如果不能进到任务管理器,就重启进入网络联接安全模式(Safe Mode with Networking),然后再进行尝试。

为避免计算机被勒索软件感染,应该养成良好的使用习惯,安装安全防护软件、做好数据备份等。可参考“Howto Protect and Harden a Computer against Ransomware”这篇文章。

*参考网站:BleepingComputer,编译JingleCats,转载请注明FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-01-30

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏贺嘉的专栏

如何用Baas快速在腾讯云上开发小程序之系列3 :实现腾讯云COS API调用

本文分享了调用腾讯云对象存储(COS)接口,实现将图片上传到指定的 Bucket 功能;同时封装图片上传接口,用于实现微信小程序中上传商品图片功能。

1K0
来自专栏玄魂工作室

【翻译】旧技术成就新勒索软件,Petya添加蠕虫特性

原文链接:https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-tech...

2796
来自专栏二次元

程序员日常中病毒系列

事情是这样的,一朋友发来源码让我看下,手残不小心点到里头的一个exe文件,弹出联网请求,我便迅速关掉,之后发现同目录多了一个伪装成系统音乐文件夹的exe可执行...

1380
来自专栏FreeBuf

新勒索软件“Defray”可通过Microsoft Word文档传播

? 我们最初观察到该勒索病毒的命令和控制(C&C)服务器主机名为:“defrayable-listings[.]000webhostapp[.]com”。因此...

3617
来自专栏晓晨的专栏

ASP.NET Core 2.0 支付宝当面付之扫码支付

1852
来自专栏FreeBuf

黑吃黑:鬼影DDoS黑客追踪

0x00 概述 安天追影小组通过威胁态势感知系统发现了一个DDoS攻击控制事件。从一个控制事件开始进行了一次黑客追踪之旅。经过关联分析找到控制C2的样本,该样...

6728
来自专栏施炯的IoT开发专栏

Windows 10 IoT Serials 1 - 针对Minnow Board MAX的Windows 10 IoT开发环境搭建

目前,微软针对Windows IoT计划支持的硬件包括树莓派2,Minnow Board MAX 和Galileo (Gen 1和Gen 2)。其中,Galil...

1916
来自专栏FreeBuf

揭秘来自中国的数字货币“挖矿”军团 – Bondnet僵尸网络

最近,以色列安全公司GuardiCore发现了一个名为Bondnet的僵尸网络,该僵尸网络由数万台被控制的具备不同功率的服务器肉鸡组成。从目前的情况来看,幕后运...

23210
来自专栏腾讯云安全的专栏

刚需 |Wannacry 勒索蠕虫病毒用户修复指引

2025
来自专栏ionic3+

被Telerik的一个Cordova插件摆了一道

说起Telerik这名字,可能有些人比较陌生,不过对于做过.Net的开发人员来说,应该会有印象,或多或少用过它家的控件,对于常规前端,可能有听说过Kendo框架...

823

扫码关注云+社区

领取腾讯云代金券