一款名为Rapid的勒索软件正在迅速传播
近期有相关信息安全机构发现,一款名为Rapid的勒索软件正在快速传播,与以往多数勒索软件不同的是,它不仅会对计算机上已有的文件进行加密,还会对新创建的任何文件进行加密。
暂时还不清楚Rapid恶意软件是如何传播的,但从一月份开始,他已经感染了很多人。
根据ID-Ransomeware的统计(如上图),第一个提交的案例是在1月3日,之后提交的有超过300个,这只是受害者中的一小部分。
外媒BleepingComputer对此事件做出如下报道分析:
一款名为Rapid的勒索软件正在迅速传播
Rapid恶意软件是如何对计算机实施加密的?
当恶意软件运行时,它就会清除Windows卷影拷贝、终止数据库进程和禁用自动修复。被终止的进程为:sql.exe、sqlite.exe及oracle.com,并执行下列命令:
一旦这些命令被执行,恶意软件就会扫描计算机进行加密,当文件被加密后,其文件名就会被添加.rapid扩展名,如下图:
当恶意软件完成对计算机的加密时,将在各个文件夹中创建名为“HowRecovery Files.txt”的勒索提示文件,文件中包含一个电子邮件,让受害者联系如何完成付款。恶意软件也会创建启动,在重启后加载勒索提示文件,Rapid恶意软件不会免费对文件解密,除非完成支付。显示的提示信息内容如下:
Rapid的IOC信息
哈希值:
关联文件:
%AppData%info.exe%AppData%HowRecovery Files.txt%AppData% ecovery.txt
关联的注册表信息:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"Encrypter"="%AppData%info.exe"HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"userinfo"="%AppData% ecovery.txt"
感染Rapid勒索软件后要怎么办?
受害者如果发现Rapid恶意软件对计算机进行加密后,应尽快打开Windows进程管理器,终止关联的恶意进程。如果计算机没有被重启,运行的进程名称可能为任意名称,如样本的名称为rapid.exe(如下图)。
如果受害者计算机已经被重启,这个进程名称可能被命名为info.exe。
一旦终止了进程,然后启动msconfig.exe禁止启动项,如果不能进到任务管理器,就重启进入网络联接安全模式(Safe Mode with Networking),然后再进行尝试。
内容来源:bleepingcomputer、freebuf
优炫软件提醒,虽然国内暂无感染案例,但为避免计算机被勒索软件感染,应该养成良好的使用习惯,安装安全防护软件、做好数据备份等。
优炫操作系统安全增强系统(Rock Solid Core Data Protection System,简称RS-CDPS)通过安装在服务器的安全内核保护服务器数据,通过截取系统调用实现对文件系统的访问控制,以加强操作系统安全性。可对UNIX类、LINUX类、WINDOWS类各种操作系统进行统一管理,为管理人员提供方便,可以保障客户的服务器安全、持续、长效运行。
优炫RS-CDPS通过安装在服务器的安全内核保护服务器数据。它在操作系统的安全功能之上提供了一个安全保护层,通过截取系统调用实现对文件系统的访问控制,以加强操作系统安全性。它不用更改操作系统就可以安装,操作方便,宜于系统管理和安全管理。适用于各种应用服务器、KMS服务器、数据库服务器、群件服务器、文件服务器等,以及其他需要安全保护的系统。
- 发表于:
- 原文链接:http://kuaibao.qq.com/s/20180131A0ORXL00?refer=cp_1026
- 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
- 如有侵权,请联系 cloudcommunity@tencent.com 删除。
相关快讯
扫码
添加站长 进交流群
领取专属 10元无门槛券
私享最新 技术干货
腾讯云开发者
