باجافزار جدیدی به نام Rapid که بهسرعت در حال انتشار است، حتی پس از رمزنگاری کامل فایلهای کامپیوتر همچنان فعال مانده و هر فایل جدیدی را که در کامپیوتر ایجاد میشود، رمزنگاری میکند. این نوع رفتار تنها منحصر به Rapid نیست، بااینحال خیلی هم مشاهده نمیشود.
هشدار مهم: از دادههای مهم خود نسخه پشتیبان تهیه کنید.
مشخص نیست باجافزار Rapid چطور توزیعشده است و در ماه ژانویه اواخر دیماه) تعداد زیادی از مردم را آلوده کرده است. بر اساس آمار از وبسایت ID-Ransomware، اولین مورد گزارششده از این باجافزار، در تاریخ ۳ ژانویه بوده است. از آن زمان تاکنون بیش از ۳۰۰ مورد دیگر از این باجافزار ارسالشده است. احتمالاً این بخش کوچکی از کل قربانیان است، چون بسیاری از افراد از ID-Ransomware برای شناسایی آلودگی به این باجافزار، استفاده نمیکنند.
چگونه باجافزار Rapidیک کامپیوتر را رمزگذاری میکند؟
هنگامیکه باجافزار اجرا میشود، ابتدا کپیهای حجم سایه[۱] ویندوز را پاککرده، فرایندهای پایگاه داده را خاتمه داده و تعمیر خودکار ویندوز را غیرفعال میکند. فرایندهای که خاتمه پیدا میکنند عبارتاند از sql.exe ، sqlite.exe ، وoracle.com و دستوراتی که اجرا میشود به شرح زیر است:
vssadmin.exe Delete Shadow /All /Quiet cmd.exe /C bcdedit /set {default} recoveryenabled No cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
بعدازاینکه دستورات بالا اجرا شد، باجافزار برای رمزنگاری، فایلهای کامپیوتر را اسکن میکند. بعدازاینکه فایل رمزنگاری شد، پسوند .rapid به نام فایل اضافه میشود.
هنگامیکه باجافزار رمزگذاری کامپیوتر را به اتمام رساندید، یادداشتهای باجخواهی بانام How Recovery Files.txt را در پوشههای مختلف ازجمله دسکتاپ ویندوز ایجاد میکند. این یادداشت باجخواهی شامل یک ایمیل است که قربانی باید برای دریافت دستورالعملهای پرداخت با آن تماس بگیرند.
این باجافزار همچنین autorunهایی (فایل اجرای خودکار) را ساخته تا به هنگام روشن شدن سیستم باجافزار را اجرا و یادداشت باجخواهی را نشان دهد. فعلاً این باجافزار Rapid را نمیتوان بهصورت رایگان رمزگشایی کرد؛ حتی مشخص نیست بعد از دریافت پول، کلید رمزگشایی در اختیار کاربر قرار داده شود.
اگر به باجافزار Rapid آلوده شدید چهکار باید انجام دهید؟
هرچند باجافزار Rapid همواره در حالت اجرا قرار داشته و فایلهای جدیدی را که در سیستم ایجاد میشود را رمزنگاری میکند، میبایست در سریعترین زمان ممکن خاموش شود. هنگامیکه یک قربانی متوجه شد که به باجافزار Rapid آلوده است، بایستی بلافاصله task manager ویندوز را بازکرده و پردازه مربوط به باجافزار را ببندد.
اگر کامپیوترتان هنوز ریاستارت نشده است، برنامه در حال اجرا ممکن است هراسمی داشته باشد. برای مثال ، نمونهای که در اختیارداریم اسم را rapid.exe به خودش گرفته است. قربانیان واقعی فایلی به این اسم که در حال اجرا هستند را نمیبیند. اگر کامپیوترتان ریاستارت شده باشد، برنامه باجافزار که در حال اجرا است ممکن است دارای اسم info.exe باشد.
ابتدا پردازه مربوطه را خاتمه دهید و سپس msconfig.exe را اجرا کنید و اجرای خودکار باجافزار را غیرفعال کنید. اگر به Task Manager ویندوز دسترسی ندارید، میتوانید سیستم خود را در حالت Safe Mode with Networking (حالت امن با شبکه) دوباره راهاندازی کنید و مجدد اقدام به انجام فرمانها فوق کنید.
در صورتی که قادر به انجام موارد فوق نیستید از یک فرد آشنا به مسایل پیشرفته رایانه کمک بگیرید.
چطور خودتان را از باجافزار Rapid محافظت کنید؟
بهجای اینکه خودتان را از باجافزار محافظت کنید ، این نکته مهم است که از عادت خوب استفاده از رایانه و از نرمافزارهای امنیتی استفاده کنید. شما همیشه باید یک نسخه پشتیبان قابلاعتماد و تستشده از اطلاعات خود داشته باشید، که بتواند در مواقع اضطراری مثل حمله یک باجافزار بازگردانده شود.
شما همچنین باید نرمافزار امنیتی بر روی سیستم خود داشته باشید که برای مبارزه با باجافزار توانایی تشخیص رفتارهای مخرب را داشته باشد.
ویندوز و نرم افزارهای خود را بهروز نگه دارید.
در آخر گامهای امنیتی که در ادامه فهرست شده است را تمرین کنید، در خیلی از موارد، مهمترین گامها عبارت هستند:
- پشتیبان گیری، پشتیبان گیری، پشتیبان گیری
- فایلهایی را که در ضمیمه ایمیل از طرف فرستندهای که نمیشناسید ارسال میشود را باز نکنید.
- فایلهای ضمیمه ایمیل را زمانی باز کنید که مطمئن شوید شخصی که آن را برای شما ارسال کرده واقعی است.
- ضمیمه ایمیل را با ابزارهای مثل ، VirusTotal اسکن کنید.
- اطمینان حاصل کنید که تمامی بهروزرسانیهای ویندوز را نصبکردهاید. مطمئن شوید تمامی نرمافزارهایی که استفاده میکنید بهخصوص Java، Flash و Adobe Reader را بهروزرسانی کردهاید.
- اطمینان حاصل کنید از نوعی نرمافزار امنیتی استفاده میکنید که از شناسایی رفتاری یا فنّاوری لیست سفید استفاده میکند.
- از پسوردهای امنتر استفاده کنید و هیچوقت پسورد خود را در سایتهای مختلف استفاده نکنید.
هشها:
۱۲۵c2bcb0cd05512391a695f907669b2f55a8b69c9d4df2ce1b6c9c5a1395b61
فایلهای مربوط به باجافزار Rapid:
%AppData%\info.exe %AppData%\How Recovery Files.txt %AppData%\recovery.txt
رکوردهای ثبتشده مرتبط با باجافزار Rapid:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Encrypter"="%AppData%\info.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "userinfo"="%AppData%\recovery.txt"
آدرسهای ایمیل باجافزار Rapid:
frenkmoddy@tuta.io jpcrypt@rape.lol support@fbamasters.com unlockforyou@india.com rapid@rape.lol fileskey@qq.com fileskey@cock.li
یادداشت باجخواهی باجافزار Rapid:
Hello! All your files have been encrypted by us If you want restore files write on e-mail - frenkmoddy@tuta.io
منبع: Bleeping Computer
[۱] Shadow volume
