一款名为Rapid的勒索软件正在迅速传播
发布时间:2022-06-28 01:03:37 所属栏目:安全 来源:互联网
导读:暂时还不清楚Rapid恶意软件是如何传播的,但从一月份开始,他已经感染了很多人。根据ID-Ransomeware的统计(如上图),第一个提交的案例是在1月3日,之后提交的有超过300个,这只是受害者中的一小部分。 Rapid恶意软件是如何对计算机实施加密的? 当恶意软
|
暂时还不清楚Rapid恶意软件是如何传播的,但从一月份开始,他已经感染了很多人。根据ID-Ransomeware的统计(如上图),第一个提交的案例是在1月3日,之后提交的有超过300个,这只是受害者中的一小部分。 Rapid恶意软件是如何对计算机实施加密的? 当恶意软件运行时,它就会清除Windows卷影拷贝、终止数据库进程和禁用自动修复。被终止的进程为:sql.exe、sqlite.exe及oracle.com,并执行下列命令: vssadmin.exe Delete Shadow /All /Quiet cmd.exe /Cbcdedit /set {default} recoveryenabled No cmd.exe/C bcdedit /set {default} bootstatuspolicy ignoreallfailures 一旦这些命令被执行,恶意软件就会扫描计算机进行加密,当文件被加密后,其文件名就会被添加.rapid扩展名,如下图: 当恶意软件完成对计算机的加密时,将在各个文件夹中创建名为“HowRecovery Files.txt”的勒索提示文件,文件中包含一个电子邮件,让受害者联系如何完成付款。恶意软件也会创建启动,在重启后加载勒索提示文件,Rapid恶意软件不会免费对文件解密,除非完成支付。显示的提示信息内容如下: Rapid的IOC信息 哈希值: 125c2bcb0cd05512391a695f907669b2f55a8b69c9d4df2ce1b6c9c5a1395b61 关联文件: %AppData%info.exe %AppData%HowRecovery Files.txt %AppData%recovery.txt 关联的注册表信息: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"Encrypter"="%AppData%info.exe" HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"userinfo"="%AppData%recovery.txt" 相关邮件地址: frenkmoddy@tuta.io jpcrypt@rape.lol support@fbamasters.com unlockforyou@india.com rapid@rape.lol fileskey@qq.com fileskey@cock.li Rapid勒索软件提示信息: Hello! All your fileshave been encrypted by us Ifyou want restore files write on e-mail - frenkmoddy@tuta.io 感染Rapid勒索软件后要怎么办? 受害者如果发现Rapid恶意软件对计算机进行加密后,应尽快打开Windows进程管理器,终止关联的恶意进程。如果计算机没有被重启,运行的进程名称可能为任意名称,如样本的名称为rapid.exe(如下图)。如果受害者计算机已经被重启,这个进程名称可能被命名为info.exe。 一旦终止了进程,然后启动msconfig.exe禁止启动项,如果不能进到任务管理器,就重启进入网络联接安全模式(Safe Mode with Networking),然后再进行尝试。 为避免计算机被勒索软件感染,应该养成良好的使用习惯,安装安全防护软件、做好数据备份等。可参考“Howto Protect and Harden a Computer against Ransomware”这篇文章。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号