Rapid勒索软件
威胁评分卡
EnigmaSoft 威胁记分卡
EnigmaSoft 威胁记分卡是针对不同恶意软件威胁的评估报告,由我们的研究团队收集和分析。 EnigmaSoft 威胁记分卡使用多个指标对威胁进行评估和排名,包括现实世界和潜在风险因素、趋势、频率、普遍性和持续性。 EnigmaSoft 威胁记分卡会根据我们的研究数据和指标定期更新,对广泛的计算机用户有用,从寻求解决方案以从系统中删除恶意软件的最终用户到分析威胁的安全专家。
EnigmaSoft 威胁记分卡显示各种有用的信息,包括:
排名: EnigmaSoft 威胁数据库中特定威胁的排名。
严重性级别:根据我们的风险建模过程和研究,确定的对象的严重性级别,以数字形式表示,如我们的威胁评估标准中所述。
受感染计算机: SpyHunter 报告的在受感染计算机上检测到的特定威胁的确认和疑似案例数量。
另请参阅威胁评估标准。
| 排行: | 17,036 |
| 威胁级别: | 100 % (高的) |
| 受感染的计算机: | 4,247 |
| 初见: | January 15, 2018 |
| 最后一次露面: | July 23, 2023 |
| 受影响的操作系统: | Windows |
Rapid Ransomware是一种加密勒索软件木马,于2018年1月2日首次被发现。几乎没有什么区别Rapid Ransomware和目前活跃的众多加密勒索软件木马。就像经常被发现的许多其他勒索软件木马一样,Rapid Ransomware将使用强大的加密算法对受害者的文件进行加密,然后要求受害者支付赎金,以换取恢复受影响文件所必需的解密密钥。
目录
快速勒索软件使用社会工程学
提供快速勒索软件和类似威胁的最常见方法是损坏的Microsoft Word文档,其中包括嵌入式宏脚本,这些宏脚本将Rapid Ransomware下载并安装到受害者的计算机上。用于传递这些文档的垃圾电子邮件旨在使用社会工程学策略,使受害者确信该附件是合法的,并且该电子邮件来自诸如Facebook或Amazon之类的可信任来源。在Rapid Ransomware的情况下,尽管该恶意软件针对的是全球多个国家/地区的用户,但这些电子邮件仍被设计为模仿美国国税局的国税局(IRS)。这些电子邮件试图通过具有类似于"请注意– IRS紧急消息"的主题来吓a用户,并提出荒唐的主张,例如受害者只有一天时间与税务经理联系,否则他们可能不得不支付罚款。当用户打开损坏的Word文件时,宏脚本将下载Rapid Ransomware并将其安装到受害者的计算机上。
快速勒索软件如何进行攻击
将快速勒索软件安装到受害者的计算机上之后,它需要执行多个步骤才能开始加密数据。首先,该恶意软件会创建两个文件-info.exe和recovery.txt,位于%UserProfile%\ Application Data \文件夹中。然后,Rapid Ransomware实现了持久性,这意味着它将通过创建以下注册表项在每次系统启动时执行:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \" Encrypter_074" ="%UserProfile%\ Application Data \ info.exe
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \" userinfo" ="%UserProfile%\ Application Data \ recovery.txt
该恶意软件还具有通过以下命令删除卷影副本和系统备份来禁用默认Windows恢复选项的功能:
vssadmin.exe删除阴影/全部/安静
cmd.exe / C bcdedit / set {默认} recoveryenabled否
cmd.exe / C bcdedit / set {默认} bootstatuspolicy ignoreallfailures
但是,没有完成快速勒索软件,然后它关闭了许多进程,包括几种反恶意软件产品的进程,例如AVP.EXE,avengine.exe,avgnt.exe,ekrn.exe,Mcshield.exe,ashDisp.exe ,NortonAntiBot.exe,cmdagent.exe,pccpfw.exe,smc.exe,msmpeng.exe,persfw.exe,fsguiexe.exe,cfp.exe。然后,将使用所有文件夹中的AES和RSA加密算法对受害者的文件进行加密,但Windows OS正常运行所必需的文件除外-%Windir%,%ProgramFiles%,%ProgramData%。
Rapid Ransomware与其命令和控制服务器建立连接,以接收和中继信息,并确保解密密钥不受受害者或PC安全分析人员的影响。强大的加密功能使用户无法访问受害者计算机上的用户生成文件。这些用户生成的文件可能包括诸如图像,电子表格,文本,视频之类的文件,以及各种其他文件。 Rapid Ransomware等威胁可能以其攻击为目标的文件示例包括:
.3dm,.3g2,.3gp,.7zip,.aaf,.accdb,.aep,.aepx,.aet,.ai,.aif,.as,.as3,.asf,.asp,.asx,.avi ,.bmp,.c,.class,.cpp,.cs,.csv,.dat,.db,.dbf,.doc,.docb,.docm,.docx,.dot,.dotm,.dotx 、. dwg,.dxf,.efx,.eps,.fla,.flv,.gif,.h,.idml,.iff,.indb,.indd,.indl,.indt,.inx,.jar,.java, .jpeg,.jpg,.js,.m3u,.m3u8,.m4u,.max,.mdb,.mid,.mkv,.mov,.mp3,.mp4,.mpa,.mpeg,.mpg,.msg ,.pdb,.pdf,.php,.plb,.pmd,.png,.pot,.potm,.potx,.ppam,.ppj,.pps,.ppsm,.ppsx,.ppt,.pptm 、. pptx,.prel,.prproj,.ps,.psd,.py,.ra,.rar,.raw,.rb,.rtf,.sdf,.sdf,.ses,.sldm,.sldx,.sql, .svg,.swf,.tif,.txt,.vcf,.vob,.wav,.wma,.wmv,.wpd,.wps,.xla,.xlam,.xll,.xlm,.xls,.xlsb ,.xlsm,.xlsx,.xlt,.xltm,.xltx,.xlw,.xml,.xqx,.xqx,.zip。
即使已对文件进行加密,Rapid Ransomware仍会潜伏,并且会使用命令"%System%\ schtasks.exe / create / SC / MINUTE / TN Encrypter / TR%UserProfile%\ Application Data"对任何新创建的文件进行突袭。 \ info.exe。"
快速勒索软件的勒索笔记
Rapid Ransomware加密受害者的文件后,Rapid Ransomware用文件扩展名'.rapid'标记它们,该扩展名被添加到每个受影响的文件名的末尾。 Rapid Ransomware以名为'!!!的文本文件的形式提供赎金记录。自述文件!!!。txt"或" How Recovery Files.txt"放入包含加密文件的每个文件夹中Rapid Ransomware勒索文件由以下文本组成:
'你好!
您的所有文件均已由我们加密
如果要还原文件,请写电子邮件-jpcrypt@rape.lol'
处理快速勒索病毒感染
PC安全研究人员建议计算机用户不要与Rapid Ransomware的犯罪者进行通信。他们还应避免支付赎金,赎金从500美元到1500美元不等。相反,受快速勒索软件攻击影响的文件应替换为备份副本。可以使用完全最新的安全程序来删除Rapid Ransomware感染本身,并防止将诸如Rapid Ransomware之类的威胁的攻击实施到受害者的计算机上。由于快速勒索软件使用垃圾邮件进行传播,因此采取措施减轻这些邮件可能造成的危害也很重要。
Rapid 2.0勒索软件
Rapid 2.0 Ransomware版本是在最初发布该恶意软件威胁大约两个月后检测到的,与它的偏差很小。它对加密文件使用几种不同的扩展名-'.JFCWF','。GJLLW'或'.GQKYO'等,并在名为" DECRYPT。[5-random-chars] .txt"的文本文件中提供赎金记录。 。"赎金说明的文字是:
'-Rapid 2.0 Ransomware加密了您的所有文件-
不用担心,您可以返回所有文件!
注意!
您所有的文件文档,照片,数据库和其他重要文件均使用最强的加密和唯一密钥进行加密。
恢复文件的唯一方法是购买快速解密器。
该软件将解密所有加密文件,并从您的PC中删除Rapid。
要获得此软件,您需要在我们的电子邮件中写信:
1. supp1decr @ cock [。] li
2. supp2decr @ cock [。] li(如果没有第一封电子邮件)
我们为您提供什么保证?
您可以从您的PC发送一个加密文件,我们免费为您解密。
但是我们只能免费解密1个文件。文件中不得包含有价值的信息
注意!
不要尝试使用第三方解密工具,因为它会破坏您的文件。
Rapid 3.0勒索软件
Rapid 3.0 Ransomware是一种文件编码器木马,已于2018年5月的第三周被恶意软件分析师发现。Rapid3.0 Ransomware是Rapid 2.0 Ransomware的下一个版本,该版本于2018年3月发布,并且它被分类为继Rapid Ransomware(于2018年1月出现)之后的第二个主要版本。计算机安全专家指出,最新的Rapid 3.0 Ransomware背后的团队非常活跃,并且似乎遵循了两个月的发布周期。一些专家说,与大多数GandCrab Ransomware和Scarab Ransomware变体相比,这是一个延迟发布周期。但是,您不应低估Rapid 3.0 Ransomware。
木马背后的程序员一直在使用广泛的电子邮件帐户网络和精心制作的DOCX文件来感染数百个用户。同样,威胁参与者继续破坏站点,并使用它们来存储其"命令和控制"基础结构。由于特洛伊木马使用TOR中继来隐藏其客户端-服务器交互,因此很难跟踪Rapid 3.0勒索软件的网络传输并找出谁来运行勒索软件活动。被感染的用户可能会发现Rapid 3.0 Ransomware已删除其卷影副本,并且没有可用的系统还原点。 Rapid 3.0勒索软件的行为类似于大多数中层加密威胁,并确保削弱Windows上的本机数据恢复功能。 Rapid 3.0 Ransomware使用每PC加密密钥,并且已经观察到将.rapid,.ezymn或。[5-random-characters]作为文件扩展名。例如," Jumeirah.jpeg"重命名为" Jumeirah.jpeg.rapid",并且Rapid 3.0 Ransomware可能会锁定对以以下格式存储的数据的访问:
.3gp,.7z,.apk,.avi,.bmp,.cdr,.cer,.chm,.conf,.css,.csv,.dat,.db,.dbf,.djvu,.dbx,.docm ,doc,.epub,.docx,.fb2,.flv,.gif,.gz,.iso .ibooks,.jpeg,.jpg,.key,.mdb .md2,.mdf,.mht,.mobi .mhtm ,.mkv,.mov,.mp3,.mp4,.mpg .mpeg,.pict,.pdf,.pps,.pkg,.png,.ppt .pptx,.ppsx,.psd,.rar,.rtf, .scr,.swf,.sav,.tiff,.tif,.tbl,.torrent,.txt,.vsd,.wmv,.xls,.xlsx,.xps,.xml,.ckp,.zip,.java ,.py,.asm,.c,.cpp,.cs,.js,.php,.dacpac,.rbw,.rb,.mrg,.dcx,.db3,.sql,.sqlite3,.sqlite 、. sqlitedb,.psd,.psp,.pdb,.dxf,.dwg,.drw,.casb,.ccp,.cal,.cmx,.cr2。
赎金记录显示在桌面上,并以'!!!形式加载到Microsoft的记事本应用程序中!自述文件!!!。txt。"我们已经看到Rapid 3.0 Ransomware敦促用户安装TOR浏览器(h [tt] ps://www.torproject [。] org / projects / torbrowser)并通过h [tt] p:// vgon3ggilr4vu32q访问付款门户[on] /?id = btc,其中出售解密器。 Rapid恶意软件操作员提供对" Rapid Decryptor"的访问权,以换取0.07比特币(610 USD / 511 EUR)。我们不建议用户与勒索软件管理者合作,因为他们可能会赔钱。
Rapid 3.0 Ransomware编码的数据是不可恢复的,除非您具有正确的解密密钥。幸运的是,正在使用在线备份服务并具有备份映像的PC用户应该不会发现很难从Rapid 3.0 Ransomware攻击中恢复。可以考虑购买合适的内存存储设备,而不是向骗子支付数百美元,您可以将其用于备份并运行受信任的反恶意软件引擎,该引擎可以安全删除Rapid 3.0 Ransomware。
RPD勒索软件
RPD勒索软件通过使用" .RPD"作为文件扩展名,并使用新的电子邮件地址进行联系-anonimus852 @ tutanota.com,anonimus852 @ cock.li和asgard2018@cock.li,将其与其他Rapid Ransomware变种区分开来。该恶意软件的赎金记录为:
'你好,亲爱的朋友!
您的所有文件均已加密
您真的要还原文件吗?
写信给我们的电子邮件-asgard2018@cock.li
并告诉我们您的唯一ID –
No_More_Ransom勒索软件
最初,"。no_more_ransom"扩展名最初被视为臭名昭著的Shade Ransomware的一部分 ,但是Rapid Ransomware的创建者决定将其扩展为自己的 。 " .no_more_ransom"版本的赎金记录使用相同的文件名DECRYPT。[5-random-characters] .txt,但其中的文本不同:
'注意!
您的所有文件均已加密
1.您用您的身份证写信给我们。
2.您购买比特币或其他加密货币。
3.用钱包付款。
4.获取所有文件的解密器。
付款之前,您可以向我们发送1个测试文件。
您会看到我们可以做到。
在哪里购买比特币:
https://paxful.com
https://localbitcoins.com
联系人:
andersoncrypt@firemail.cc
belinda@cock.li
告诉我们您的唯一ID'
'.guesswho文件扩展名'勒索软件
" .guesswho文件扩展名"勒索软件是与Rapid Ransomware相关的最新勒索软件威胁之一。它以类似的方式运行,但是对已加密的文件使用" .guesswho"扩展名。赎金记录的文本再次更改,这次显示为:
'你好,亲爱的朋友!
您的所有文件均已加密
您真的要还原文件吗?
写信给我们的电子邮件-youfile@protonmail.com
并告诉我们您的唯一ID-ID-'
