Rapid勒索軟件
威脅評分卡
EnigmaSoft 威胁记分卡
EnigmaSoft 威脅記分卡是我們的研究團隊收集和分析的不同惡意軟件威脅的評估報告。 EnigmaSoft 威脅記分卡使用多種指標對威脅進行評估和排名,包括現實世界和潛在的風險因素、趨勢、頻率、普遍性和持續性。 EnigmaSoft 威脅記分卡根據我們的研究數據和指標定期更新,對范圍廣泛的計算機用戶非常有用,從尋求解決方案以從其係統中刪除惡意軟件的最終用戶到分析威脅的安全專家。
EnigmaSoft 威脅記分卡顯示各種有用的信息,包括:
排名:特定威脅在 EnigmaSoft 的威脅數據庫中的排名。
嚴重級別:根據我們的風險建模過程和研究確定的對象嚴重級別,以數字表示,如我們的威脅評估標準中所述。
受感染的計算機:根據 SpyHunter 的報告,在受感染的計算機上檢測到的特定威脅的已確認和疑似案例的數量。
另請參閱威脅評估標準。
| 排行: | 17,036 |
| 威胁级别: | 100 % (高的) |
| 受感染的计算机: | 4,247 |
| 初见: | January 15, 2018 |
| 最后一次露面: | July 23, 2023 |
| 受影响的操作系统: | Windows |
Rapid Ransomware是一種加密勒索軟件木馬,於2018年1月2日首次被發現。幾乎沒有什麼區別Rapid Ransomware和目前活躍的眾多加密勒索軟件木馬。就像經常被發現的許多其他勒索軟件木馬一樣,Rapid Ransomware將使用強大的加密算法對受害者的文件進行加密,然後要求受害者支付贖金,以換取恢復受影響文件所必需的解密密鑰。
目錄
快速勒索軟件使用社會工程學
提供快速勒索軟件和類似威脅的最常見方法是損壞的Microsoft Word文檔,其中包括嵌入式宏腳本,這些宏腳本將Rapid Ransomware下載並安裝到受害者的計算機上。用於傳遞這些文檔的垃圾電子郵件旨在使用社會工程學策略,使受害者確信該附件是合法的,並且該電子郵件來自諸如Facebook或Amazon之類的可信任來源。在Rapid Ransomware的情況下,儘管該惡意軟件針對的是全球多個國家/地區的用戶,但這些電子郵件仍被設計為模仿美國國稅局的國稅局(IRS)。這些電子郵件試圖通過具有類似於"請注意– IRS緊急消息"的主題來嚇a用戶,並提出荒唐的主張,例如受害者只有一天時間與稅務經理聯繫,否則他們可能不得不支付罰款。當用戶打開損壞的Word文件時,宏腳本將下載Rapid Ransomware並將其安裝到受害者的計算機上。
快速勒索軟件如何進行攻擊
將快速勒索軟件安裝到受害者的計算機上之後,它需要執行多個步驟才能開始加密數據。首先,該惡意軟件會創建兩個文件-info.exe和recovery.txt,位於%UserProfile%\ Application Data \文件夾中。然後,Rapid Ransomware實現了持久性,這意味著它將通過創建以下註冊表項在每次系統啟動時執行:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \" Encrypter_074" ="%UserProfile%\ Application Data \ info.exe
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \" userinfo" ="%UserProfile%\ Application Data \ recovery.txt
該惡意軟件還具有通過以下命令刪除卷影副本和系統備份來禁用默認Windows恢復選項的功能:
vssadmin.exe刪除陰影/全部/安靜
cmd.exe / C bcdedit / set {默認} recoveryenabled否
cmd.exe / C bcdedit / set {默認} bootstatuspolicy ignoreallfailures
但是,沒有完成快速勒索軟件,然後它關閉了許多進程,包括幾種反惡意軟件產品的進程,例如AVP.EXE,avengine.exe,avgnt.exe,ekrn.exe,Mcshield.exe,ashDisp.exe ,NortonAntiBot.exe,cmdagent.exe,pccpfw.exe,smc.exe,msmpeng.exe,persfw.exe,fsguiexe.exe,cfp.exe。然後,將使用所有文件夾中的AES和RSA加密算法對受害者的文件進行加密,但Windows OS正常運行所必需的文件除外-%Windir%,%ProgramFiles%,%ProgramData%。
快速勒索軟件與其命令和控制服務器建立連接,以接收和中繼信息,並確保解密密鑰不受受害者或PC安全分析人員的影響。強大的加密功能使用戶無法訪問受害者計算機上的用戶生成文件。這些用戶生成的文件可能包括諸如圖像,電子表格,文本,視頻之類的文件,以及各種其他文件。 Rapid Ransomware等威脅可能以其攻擊為目標的文件示例包括:
.3dm,.3g2,.3gp,.7zip,.aaf,.accdb,.aep,.aepx,.aet,.ai,.aif,.as,.as3,.asf,.asp,.asx,.avi ,.bmp,.c,.class,.cpp,.cs,.csv,.dat,.db,.dbf,.doc,.docb,.docm,.docx,.dot,.dotm,.dotx 、. dwg,.dxf,.efx,.eps,.fla,.flv,.gif,.h,.idml,.iff,.indb,.indd,.indl,.indt,.inx,.jar,.java, .jpeg,.jpg,.js,.m3u,.m3u8,.m4u,.max,.mdb,.mid,.mkv,.mov,.mp3,.mp4,.mpa,.mpeg,.mpg,.msg ,.pdb,.pdf,.php,.plb,.pmd,.png,.pot,.potm,.potx,.ppam,.ppj,.pps,.ppsm,.ppsx,.ppt,.pptm 、. pptx,.prel,.prproj,.ps,.psd,.py,.ra,.rar,.raw,.rb,.rtf,.sdf,.sdf,.ses,.sldm,.sldx,.sql, .svg,.swf,.tif,.txt,.vcf,.vob,.wav,.wma,.wmv,.wpd,.wps,.xla,.xlam,.xll,.xlm,.xls,.xlsb ,.xlsm,.xlsx,.xlt,.xltm,.xltx,.xlw,.xml,.xqx,.xqx,.zip。
即使已對文件進行加密,Rapid Ransomware仍會潛伏,並且會使用命令"%System%\ schtasks.exe / create / SC / MINUTE / TN Encrypter / TR%UserProfile%\ Application Data"對任何新創建的文件進行突襲。 \ info.exe。"
快速勒索軟件的勒索筆記
Rapid Ransomware加密受害者的文件後,Rapid Ransomware用文件擴展名'.rapid'標記它們,該擴展名被添加到每個受影響的文件名的末尾。 Rapid Ransomware以名為'!!!的文本文件的形式提供贖金記錄。在包含加密文件的每個文件夾中都放入了README !!!。txt"或" How Recovery Files.txt"。Rapid Ransomware勒索文件由以下文本組成:
'你好!
您的所有文件均已由我們加密
如果要還原文件,請寫電子郵件-jpcrypt@rape.lol'
處理快速勒索病毒感染
PC安全研究人員建議計算機用戶不要與Rapid Ransomware的犯罪者進行通信。他們還應避免支付贖金,贖金從500美元到1500美元不等。相反,受快速勒索軟件攻擊影響的文件應替換為備份副本。可以使用完全最新的安全程序來刪除Rapid Ransomware感染本身,並防止將諸如Rapid Ransomware之類的威脅的攻擊實施到受害者的計算機上。由於快速勒索軟件使用垃圾郵件進行傳播,因此採取措施減輕這些郵件可能造成的危害也很重要。
Rapid 2.0勒索軟件
Rapid 2.0 Ransomware版本是在最初發布該惡意軟件威脅大約兩個月後檢測到的,與它的偏差很小。它對加密文件使用幾種不同的擴展名-'.JFCWF','。GJLLW'或'.GQKYO'等,並在名為" DECRYPT。[5-random-chars] .txt"的文本文件中提供贖金記錄。 "。贖金說明的文字是:
'-Rapid 2.0 Ransomware加密了您的所有文件-
不用擔心,您可以返回所有文件!
注意!
您所有的文件文檔,照片,數據庫和其他重要文件均使用最強的加密和唯一密鑰進行加密。
恢復文件的唯一方法是購買快速解密器。
該軟件將解密所有加密文件,並從您的PC中刪除Rapid。
要獲得此軟件,您需要在我們的電子郵件中寫信:
1. supp1decr @ cock [。] li
2. supp2decr @ cock [。] li(如果沒有第一封電子郵件)
我們為您提供什麼保證?
您可以從您的PC發送一個加密文件,我們免費為您解密。
但是我們只能免費解密1個文件。文件中不得包含有價值的信息
注意!
不要嘗試使用第三方解密工具,因為它會破壞您的文件。
Rapid 3.0勒索軟件
Rapid 3.0 Ransomware是一種文件編碼器木馬,已於2018年5月的第三週被惡意軟件分析師發現。Rapid3.0 Ransomware是Rapid 2.0 Ransomware的下一個版本,該版本於2018年3月發布,並且它被分類為繼Rapid Ransomware(於2018年1月出現)之後的第二個主要版本。計算機安全專家指出,最新的Rapid 3.0 Ransomware背後的團隊非常活躍,並且似乎遵循了兩個月的發布週期。一些專家表示,與大多數GandCrab Ransomware和Scarab Ransomware變體相比,這是一個延遲發布週期。但是,您不應低估Rapid 3.0 Ransomware。
木馬背後的程序員一直在使用廣泛的電子郵件帳戶網絡和精心製作的DOCX文件來感染數百個用戶。而且,威脅參與者繼續破壞站點,並使用它們來存儲其"命令和控制"基礎結構。由於特洛伊木馬使用TOR中繼來隱藏其客戶端-服務器交互,因此很難跟踪Rapid 3.0勒索軟件的網絡傳輸並找出誰來運行勒索軟件活動。受感染的用戶可能會發現Rapid 3.0 Ransomware已刪除其卷影副本,並且沒有可用的系統還原點。 Rapid 3.0 Ransomware的行為類似於大多數中層加密威脅,並確保削弱Windows上的本機數據恢復功能。 Rapid 3.0 Ransomware使用每PC加密密鑰,並且已經觀察到將.rapid,.ezymn或。[5-random-characters]作為文件擴展名。例如," Jumeirah.jpeg"重命名為" Jumeirah.jpeg.rapid",並且Rapid 3.0 Ransomware可能會鎖定對以以下格式存儲的數據的訪問:
.3gp,.7z,.apk,.avi,.bmp,.cdr,.cer,.chm,.conf,.css,.csv,.dat,.db,.dbf,.djvu,.dbx,.docm ,doc,.epub,.docx,.fb2,.flv,.gif,.gz,.iso .ibooks,.jpeg,.jpg,.key,.mdb .md2,.mdf,.mht,.mobi .mhtm ,.mkv,.mov,.mp3,.mp4,.mpg .mpeg,.pict,.pdf,.pps,.pkg,.png,.ppt .pptx,.ppsx,.psd,.rar,.rtf, .scr,.swf,.sav,.tiff,.tif,.tbl,.torrent,.txt,.vsd,.wmv,.xls,.xlsx,.xps,.xml,.ckp,.zip,.java ,.py,.asm,.c,.cpp,.cs,.js,.php,.dacpac,.rbw,.rb,.mrg,.dcx,.db3,.sql,.sqlite3,.sqlite 、. sqlitedb,.psd,.psp,.pdb,.dxf,.dwg,.drw,.casb,.ccp,.cal,.cmx,.cr2。
贖金記錄顯示在桌面上,並以'!!!形式加載到Microsoft的記事本應用程序中!自述文件!!!。txt。"我們已經看到Rapid 3.0 Ransomware敦促用戶安裝TOR瀏覽器(h [tt] ps://www.torproject [。] org / projects / torbrowser)並通過h [tt] p:// vgon3ggilr4vu32q訪問付款門戶[on] /?id = btc,其中出售解密器。 Rapid惡意軟件操作員提供對" Rapid Decryptor"的訪問,以換取0.07比特幣(610 USD / 511 EUR)。我們不建議用戶與勒索軟件管理者合作,因為他們可能會賠錢。
Rapid 3.0 Ransomware編碼的數據是不可恢復的,除非您具有正確的解密密鑰。幸運的是,正在使用在線備份服務並具有備份映像的PC用戶應該不會發現很難從Rapid 3.0 Ransomware攻擊中恢復。可以考慮購買合適的內存存儲設備,而不是向騙子支付數百美元,您可以將其用於備份並運行受信任的反惡意軟件引擎,該引擎可以安全刪除Rapid 3.0 Ransomware。
RPD勒索軟件
RPD勒索軟件通過使用" .RPD"作為文件擴展名,並使用新的電子郵件地址進行聯繫-anonimus852 @ tutanota.com,anonimus852 @ cock.li和asgard2018@cock.li,將其與其他Rapid Ransomware變種區分開來。該惡意軟件的贖金記錄為:
'你好,親愛的朋友!
您的所有文件均已加密
您真的要還原文件嗎?
寫信給我們的電子郵件-asgard2018@cock.li
並告訴我們您的唯一ID –
No_More_Ransom勒索軟件
最初,"。no_more_ransom"擴展名最初被視為臭名昭著的Shade Ransomware的一部分 ,但是Rapid Ransomware的創建者決定將其擴展為自己的 。 " .no_more_ransom"版本的贖金記錄使用相同的文件名DECRYPT。[5-random-characters] .txt,但其中的文本不同:
'注意!
您的所有文件均已加密
1.您用您的身份證寫信給我們。
2.您購買比特幣或其他加密貨幣。
3.用錢包付款。
4.獲取所有文件的解密器。
付款之前,您可以向我們發送1個測試文件。
您會看到我們可以做到。
在哪裡購買比特幣:
https://paxful.com
https://localbitcoins.com
聯繫人:
andersoncrypt@firemail.cc
belinda@cock.li
告訴我們您的唯一ID'
'.guesswho文件擴展名'勒索軟件
" .guesswho文件擴展名"勒索軟件是與Rapid Ransomware相關的最新勒索軟件威脅之一。它以類似的方式運行,但是對已加密的文件使用" .guesswho"擴展名。贖金記錄的文本再次更改,這次顯示為:
'你好,親愛的朋友!
您的所有文件均已加密
您真的要還原文件嗎?
寫信給我們的電子郵件-youfile@protonmail.com
並告訴我們您的唯一ID-ID-'
