اخبار

هشدار: باج‌افزار Rapid به سرعت در حال انتشار است!

باج‌افزار جدیدی به نام Rapid که به‌سرعت در حال انتشار است، حتی پس از رمزنگاری کامل فایل‌های کامپیوتر همچنان فعال مانده و هر فایل جدیدی را که در کامپیوتر ایجاد می‌شود، رمزنگاری می‌کند. این نوع رفتار تنها منحصر به Rapid نیست، بااین‌حال خیلی هم مشاهده نمی‌شود.

هشدار مهم: از داده‌های مهم خود نسخه پشتیبان تهیه کنید.

مشخص نیست باج‌افزار Rapid  چطور توزیع‌شده است و در ماه ژانویه اواخر دی‌ماه) تعداد زیادی از مردم را آلوده کرده است. بر اساس آمار از وب‌سایت  ID-Ransomware، اولین مورد گزارش‌شده از این باج‌افزار، در تاریخ ۳ ژانویه بوده است. از آن زمان تاکنون بیش از ۳۰۰ مورد دیگر از این باج‌افزار ارسال‌شده است. احتمالاً این بخش کوچکی از کل قربانیان است، چون بسیاری از افراد از ID-Ransomware برای شناسایی آلودگی به این باج‌افزار، استفاده نمی‌کنند.

چگونه باج‌افزار  Rapidیک کامپیوتر را رمزگذاری می‌کند؟

هنگامی‌که باج‌افزار اجرا می‌شود، ابتدا کپی‌های حجم سایه[۱] ویندوز را پاک‌کرده، فرایندهای پایگاه داده را خاتمه داده و تعمیر خودکار ویندوز را غیرفعال می‌کند. فرایندهای که خاتمه پیدا می‌کنند عبارت‌اند از sql.exe ، sqlite.exe ، وoracle.com  و دستوراتی که اجرا می‌شود به شرح زیر است:

vssadmin.exe Delete Shadow /All /Quiet

cmd.exe /C bcdedit /set {default} recoveryenabled No

cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures

 

بعدازاین‌که دستورات بالا اجرا شد، باج‌افزار برای رمزنگاری، فایل‌های کامپیوتر را اسکن می‌کند. بعدازاینکه فایل رمزنگاری شد، پسوند .rapid به نام فایل اضافه می‌شود.

هنگامی‌که باج‌افزار رمزگذاری کامپیوتر را به اتمام رساندید، یادداشت‌های باج‌خواهی بانام How Recovery Files.txt را در پوشه‌های مختلف ازجمله دسکتاپ ویندوز ایجاد می‌کند. این یادداشت باج‌خواهی شامل یک ایمیل است که قربانی باید برای دریافت دستورالعمل‌های پرداخت با آن تماس بگیرند.

این باج‌افزار همچنین autorun‌هایی (فایل اجرای خودکار)  را ساخته تا به هنگام روشن شدن سیستم باج‌افزار را اجرا و یادداشت باج‌خواهی را نشان دهد. فعلاً این باج‌افزار Rapid را نمی‌توان به‌صورت رایگان رمزگشایی کرد؛ حتی مشخص نیست بعد از دریافت پول، کلید رمزگشایی در اختیار کاربر قرار داده شود.

 

اگر به باج‌افزار Rapid  آلوده شدید چه‌کار باید انجام دهید؟

هرچند باج‌افزار Rapid همواره در حالت اجرا قرار داشته و فایل‌های جدیدی را که در سیستم ایجاد می‌شود را رمزنگاری می‌کند، می‌بایست در سریع‌ترین زمان ممکن خاموش شود. هنگامی‌که یک قربانی متوجه شد که  به باج‌افزار Rapid آلوده است، بایستی بلافاصله task manager ویندوز را بازکرده و پردازه مربوط به باج‌افزار را ببندد.

اگر کامپیوترتان هنوز ری‌استارت نشده است، برنامه در حال اجرا ممکن است هراسمی داشته باشد. برای مثال ، نمونه‌ای که در اختیارداریم اسم را rapid.exe به خودش گرفته است. قربانیان واقعی فایلی به این اسم که در حال اجرا هستند را نمی‌بیند. اگر کامپیوترتان ری‌استارت شده باشد، برنامه باج‌افزار که در حال اجرا است ممکن است دارای اسم info.exe باشد.

ابتدا پردازه مربوطه را خاتمه دهید و سپس msconfig.exe را اجرا کنید و اجرای خودکار باج‌افزار را غیرفعال کنید. اگر به Task Manager ویندوز دسترسی ندارید، می‌توانید سیستم خود را در حالت Safe Mode with Networking  (حالت امن با شبکه) دوباره راه‌اندازی کنید و مجدد اقدام به انجام فرمان‌ها فوق کنید.

در صورتی که قادر به انجام موارد فوق نیستید از یک فرد آشنا به مسایل پیشرفته رایانه کمک بگیرید.

 

چطور خودتان را از باج‌افزار Rapid  محافظت کنید؟

به‌جای این‌که خودتان را از باج‌افزار محافظت کنید ، این نکته  مهم است که از عادت خوب استفاده از رایانه و از نرم‌افزارهای امنیتی استفاده کنید. شما همیشه باید یک نسخه پشتیبان قابل‌اعتماد و تست‌شده از اطلاعات خود داشته باشید، که بتواند در مواقع اضطراری مثل حمله یک باج‌افزار بازگردانده شود.

شما همچنین باید نرم‌افزار امنیتی بر روی سیستم خود داشته باشید که برای مبارزه با باج‌افزار توانایی تشخیص  رفتارهای مخرب را داشته باشد.

ویندوز و نرم افزارهای خود را به‌روز نگه دارید.

در آخر گام‌های امنیتی که در ادامه فهرست شده است را تمرین کنید، در خیلی از موارد، مهم‌ترین گام‌ها عبارت هستند:

  • پشتیبان گیری، پشتیبان گیری، پشتیبان گیری
  • فایل‌هایی را که در ضمیمه ایمیل از طرف فرستنده‌ای که نمی‌شناسید ارسال می‌شود را باز نکنید.
  • فایل‌های ضمیمه ایمیل را زمانی باز کنید که مطمئن شوید شخصی که آن را برای شما ارسال کرده واقعی است.
  • ضمیمه ایمیل را با ابزارهای مثل ، VirusTotal اسکن کنید.
  • اطمینان حاصل کنید که تمامی به‌روزرسانی‌های ویندوز را نصب‌کرده‌اید. مطمئن شوید تمامی نرم‌افزارهایی که استفاده می‌کنید به‌خصوص Java، Flash و Adobe Reader را به‌روزرسانی کرده‌اید.
  • اطمینان حاصل کنید از نوعی نرم‌افزار امنیتی استفاده می‌کنید که از شناسایی رفتاری یا فنّاوری لیست سفید استفاده می‌کند.
  • از پسوردهای امن‌تر استفاده کنید و هیچ‌وقت پسورد خود را در سایت‌های مختلف استفاده نکنید.

هش‌ها:

۱۲۵c2bcb0cd05512391a695f907669b2f55a8b69c9d4df2ce1b6c9c5a1395b61

 

فایل‌های مربوط به باج‌افزار Rapid:

%AppData%\info.exe

%AppData%\How Recovery Files.txt

%AppData%\recovery.txt

رکوردهای ثبت‌شده مرتبط با باج‌افزار Rapid:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Encrypter"="%AppData%\info.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "userinfo"="%AppData%\recovery.txt"

آدرس‌های ایمیل باج‌افزار Rapid:

frenkmoddy@tuta.io

jpcrypt@rape.lol

support@fbamasters.com

unlockforyou@india.com

rapid@rape.lol

fileskey@qq.com

fileskey@cock.li

یادداشت باج‌خواهی باج‌افزار Rapid:

Hello!

All your files have been encrypted by us

If you want restore files write on e-mail - frenkmoddy@tuta.io

 

منبع: Bleeping Computer

[۱] Shadow volume

هشدار: باج‌افزار Rapid به سرعت در حال انتشار است!

آگاهی رسانی، پشتیبانی و امداد رایانه‌ای در حوزه امنیت فضای تبادل اطلاعات

cert.znu.ac.ir
certoffice@znu.ac.ir
TelFax: 024-33054210

خدمات مرکز آپا:


  • آزمون نفوذ و کشف آسیب پذیری
  • رسیدگی به حوادث شبکه‌های رایانه‌ای
  • ارائه مشاوره در زمینه امنیت
  • ارزیابی امنیت و صدور گواهی‌نامه
  • امن‌سازی اتوماسیون صنعتی
  • انجام طرح‌های پژوهشی در زمینه امنیت
  • برگزاری دوره‌های تخصصی آموزشی ویژه مدیران و کارشناسان سازمان‌ها
To Top