Rapid: باج‌افزاری که فایل‌های جدید را هم رمزگذاری می‌کند

باج‌افزار جدیدی با عنوان Rapid در حال انتشار است که پس از رمزگذاری فایل‌های موجود بر روی دستگاه آلوده شده همچنان محتوای دیسک سخت را تحت رصد قرار داده و در صورت ایجاد هر فایل جدید اقدام به رمزگذاری آن می‌کند. هر چند این ویژگی تنها منحصر به Rapid نیست اما رفتار رایجی در میان باج‌افزارها محسوب نمی‌شود.

با اجرای این باج‌افزار، پروسه‌ای با عنوان rapid.exe از طریق فرامین زیر نسخه‌های موسوم به Windows Shadow Volume را حذف کرده و امکان بازیابی خودکار را غیرفعال می‌کند:

  • vssadmin.exe Delete Shadow /All /Quiet
  • cmd.exe /C bcdedit /set {default} recoveryenabled No
  • cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures

هچنین Rapid پروسه‌های پایگاه داده زیر را نیز متوقف می‌کند:

  • sql.exe
  • sqlite.exe
  • oracle.com

هدف از متوقف کردن این پروسه‌ها آزاد شدن بانک‌های داده و در نتیجه فراهم شدن امکان رمزگذاری فایل آنها توسط Rapid است.

این باج‌افزار به فایل‌های رمزگذاری شده پسوند rapid را الصاق می‌کند.

ضمن اینکه اطلاعیه باج‌گیری خود را با عنوان How Recovery Files.txt نیز در پوشه‌های مختلفی از جمله در Desktop کپی می‌کند.

باج افزار رپید

به گزارش شرکت مهندسی شبکه گستر، در اطلاعیه باج‌گیری نسخه‌های مختلف این باج‌افزار از ایمیل‌های زیر استفاده شده است:

  • frenkmoddy@tuta.io
  • jpcrypt@rape.lol
  • support@fbamasters.com
  • unlockforyou@india.com
  • rapid@rape.lol
  • fileskey@qq.com
  • fileskey@cock.li

با راه‌اندازی مجدد شدن دستگاه، نام پروسه به info.exe تغییر داده می‌شود.

همچنین با ایجاد کلیدهای زیر در محضرخانه در هر بار راه‌اندازی شدن دستگاه خود را به صورت خودکار به اجرا در می‌آورد:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “Encrypter”=”%AppData%\info.exe”
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “userinfo”=”%AppData%\recovery.txt”

همانطور که اشاره شد باج‌افزار Rapid پس از تکمیل رمزگذاری فایل‌های کاربر، همچنان اضافه شدن فایل‌های جدید را زیر نظر داشته و در صورت ایجاد هر فایل جدید آن را نیز رمزگذاری می‌کند.

متاسفانه در حال حاضر، امکان بازگردانی فایل‌های رمزگذاری شده توسط این باج‌افزار بدون در اختیار داشتن کلید رمزگشایی فراهم نیست.

توضیح اینکه نمونه بررسی شده در این خبر با نام‌های زیر شناسایی می‌شود:

McAfee:
   – RDN/Generic.hbg

Bitdefender:
   – Gen:Trojan.Heur.JP.4CW@a4kbhRfi

مچون همیشه، برای ایمن ماندن از گزند باج‌افزارها، رعایت موارد زیر توصیه می‌شود:

  • از ضدویروس قدرتمند و به‌روز استفاده کنید.
  • از اطلاعات سازمانی به‌صورت دوره‌ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده‌های حیاتی توصیه می‌شود. بر طبق این قاعده، از هر فایل سه نسخه می‌بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایل‌ها باید بر روی دو رسانه ذخیره‌سازی مختلف نگهداری شوند. یک نسخه از فایل‌ها می‌‌بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
  • از نصب فوری آخرین اصلاحیه‌های امنیتی اطمینان حاصل کنید.
  • به دلیل انتشار برخی از باج‌افزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، با استفاده از این راهنما نسبت به پیکربندی صحیح آن اقدام کنید.
  • با توجه به انتشار بخش قابل توجهی از باج‌افزارها از طریق فایل‌های نرم‌افزار Office حاوی ماکروی مخرب، تنظیمات امنیتی ماکرو را بنحو مناسب پیکربندی کنید. برای این منظور می‌توانید از این راهنما استفاده کنید.
  • آموزش و راهنمایی کاربران سازمان به صرف‌نظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل‌ها داشته باشد. برای این منظور می‌توانید از این داده‌نمایی‌ها استفاده کنید.
  • پودمان RDP را غیرفعال کرده یا حداقل کاربران محدود با گذرواژه‌های پیچیده را مجاز به استفاده از آن کنید.
  • دسترسی به پوشه‌های اشتراکی در حداقل سطح ممکن قرار داده شود.
  • ایمیل‌های دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور می‌توانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید. 
  • سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج‌افزار آلوده نمی‌شود.
  • در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، شرکت کنید. شرکت در این دوره‌ها برای مشتریان شرکت مهندسی شبکه گستر رایگان است.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

5 پاسخ

  1. با سلام خدمت دوستان گرامی
    اخیرا سیستم من توسط یک باج افزار مورد حمله قرار گرفته که بعد از رمز گذاری انواع فایل ها ، به انها پسوند Pumas الصاق می کند .
    در همه فولدرها یک فایل متنی با محتوای زیر کپی کرده و درخواست واریز 290 دلار به حساب بیت کویین کرده است که بصورت زیر می باشد .
    ==================================!ATTENTION PLEASE!===========================================

    Your databases, files, photos, documents and other important files are encrypted and have the extension: .pumas
    The only method of recovering files is to purchase an decrypt software and unique private key.
    After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
    Only we can give you this key and only we can recover your files.
    You need to contact us by e-mail pumarestore@india.com send us your personal ID and wait for further instructions.
    For you to be sure, that we can decrypt your files – you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
    Discount 50% avaliable if you contact us first 72 hours.

    ===============================================================================================

    E-mail address to contact us:
    pumarestore@india.com

    Reserve e-mail address to contact us:
    BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch

    Your personal id:
    008DIYhpPwUZWDJ69FOhe4cUtLz1EMcBiGOiFgfZbdg

    لطفا اطلاع رسانی نموده و بررسی کنید . سپاس
    ایمیل من : mahdi.t52@gmail.com
    از همکار رایانه ای شما در شهرستان .

    پاسخ

  2. با سلام سرور ما تمام فایلهاس با پسوند sxsxsx@cock.li و تقریبا تمام میندوز بانک اطلاعاتی از کار افتاده میشه کاری کرد؟

    پاسخ

      1. سلام براتون ایمیل کردم لطفا بررسی بفرمایید. سپاسگزارم

        پاسخ

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *