赌球网站排名:  为将计划付诸行动,该生进行了前期准备,并已经收集了大量武器与爆炸物。

> 赌球网站排名 > 关于优炫 > 公司动态 > 业界新闻 >

业界新闻

Industry News

一款名为Rapid的勒索软件正在迅速传播

2018-01-31
近期有相关信息安全机构发现,一款名为Rapid的勒索软件正在快速传播,与以往多数勒索软件不同的是,它不仅会对计算机上已有的文件进行加密,还会对新创建的任何文件进行加密。

暂时还不清楚Rapid恶意软件是如何传播的,但从一月份开始,他已经感染了很多人。

根据ID-Ransomeware的统计(如上图),第一个提交的案例是在1月3日,之后提交的有超过300个,这只是受害者中的一小部分。

外媒BleepingComputer对此事件做出如下报道分析:

一款名为Rapid的勒索软件正在迅速传播



Rapid恶意软件是如何对计算机实施加密的?

当恶意软件运行时,它就会清除Windows卷影拷贝、终止数据库进程和禁用自动修复。被终止的进程为:sql.exe、sqlite.exe及oracle.com,并执行下列命令:

一旦这些命令被执行,恶意软件就会扫描计算机进行加密,当文件被加密后,其文件名就会被添加.rapid扩展名,如下图:

当恶意软件完成对计算机的加密时,将在各个文件夹中创建名为“HowRecovery Files.txt”的勒索提示文件,文件中包含一个电子邮件,让受害者联系如何完成付款。恶意软件也会创建启动,在重启后加载勒索提示文件,Rapid恶意软件不会免费对文件解密,除非完成支付。显示的提示信息内容如下:


Rapid的IOC信息

哈希值:
125c2bcb0cd05512391a695f907669b2f55a8b69c9d4df2ce1b6c9c5a1395b61

关联文件:
%AppData%\info.exe%AppData%\HowRecovery Files.txt%AppData%\recovery.txt

关联的注册表信息:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"Encrypter"="%AppData%\info.exe"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"userinfo"="%AppData%\recovery.txt"

相关邮件地址:
frenkmoddy@tuta.io
jpcrypt@rape.lol
support@fbamasters.com
unlockforyou@india.com
rapid@rape.lol
fileskey@qq.com
fileskey@cock.li

Rapid勒索软件提示信息:
Hello!
All your fileshave been encrypted by us
If you want restore files write on e-mail - frenkmoddy@tuta.io


感染Rapid勒索软件后要怎么办?

受害者如果发现Rapid恶意软件对计算机进行加密后,应尽快打开Windows进程管理器,终止关联的恶意进程。如果计算机没有被重启,运行的进程名称可能为任意名称,如样本的名称为rapid.exe(如下图)。

如果受害者计算机已经被重启,这个进程名称可能被命名为info.exe。

一旦终止了进程,然后启动msconfig.exe禁止启动项,如果不能进到任务管理器,就重启进入网络联接安全模式(Safe Mode with Networking),然后再进行尝试。
内容来源:bleepingcomputer
http://www.aajkiprice.com/dqwzpm/news/security/rapid-ransomware-continues-encrypting-new-files-as-they-are-created/
freebuf
http://www.aajkiprice.com/dqwzpm/articles/database/161299.html

优炫软件提醒,虽然国内暂无感染案例,但为避免计算机被勒索软件感染,应该养成良好的使用习惯,安装安全防护软件、做好数据备份等。
优炫操作系统安全增强系统(Rock Solid Core Data Protection System,简称RS-CDPS)通过安装在服务器的安全内核保护服务器数据,通过截取系统调用实现对文件系统的访问控制,以加强操作系统安全性。可对UNIX类、LINUX类、WINDOWS类各种操作系统进行统一管理,为管理人员提供方便,可以保障客户的服务器安全、持续、长效运行。

优炫RS-CDPS通过安装在服务器的安全内核保护服务器数据。它在操作系统的安全功能之上提供了一个安全保护层,通过截取系统调用实现对文件系统的访问控制,以加强操作系统安全性。它不用更改操作系统就可以安装,操作方便,宜于系统管理和安全管理。适用于各种应用服务器、KMS服务器、数据库服务器、群件服务器、文件服务器等,以及其他需要安全保护的系统。
百度 360 搜狗