• О проекте
  • Услуги
  • Заказать услугу
  • Новости
  • Блог
  • Глоссарий
  • Контакты
  • Новости

    Rapid Ransomware – вымогатель нового поколения

    Исследователям из BleepingComputer удалось проанализировать принцип работы нового вымогательского ПО, которому дали название Rapid Ransomware. Криптовымогатель после попадания в систему занимается кодировкой существующих файлов, а затем указывает данные своих создателей, с которыми можно связаться и обсудить выкуп. Кроме того, все новые файлы, которые создает «жертва», также шифруются.

    О программе Rapid Ransomware заговорили еще в 2017 году. Сейчас известно о 300 устройствах, работающих под управлением Windows, зараженных с начала этого года. Такую информацию приводит ресурс ID-Ransomware, основной целью которого является классификация и мониторинг различного типа вымогателей. Специалисты уверены, что масштабы успешных атак могут намного больше.

    Принцип работы нового шифровальщика выглядит следующим образом:

    1. ПО после попадания на компьютер выполняет очистку кэша теневого копирования ОС;
    2. Происходит остановка процессов, которые отвечают за работы с БД (sqlite.exe или sql.exe);
    3. Автоматическое восстановление системы также отключается;
    4. криптовымогатель Rapid Ransomware ищет и кодирует файлы.

    Rapid Ransomware – вымогатель нового поколения

    Исследователям пока не удалось выяснить, какую информацию «любит» зловред, но известно наверняка, что самыми уязвимыми являются PNG, JPG-файлы, а также документы Microsoft Word. После успешного кодирования файл меняет расширение на .rapid. Эксперты считают, что основные системные элементы не кодируются данным вымогателем, ведь ОС продолжает запускаться на скомпрометированной машине.

    Последний этап – создание файла How Recovery Files с расширением .txt в нескольких папках юзера, а также на рабочем столе. Внутри файла можно найти e-mail киберпреступников, на который можно написать по поводу дешифровки. Сейчас известно девятнадцать используемых хакерами почтовых ящиков.

    Метода восстановления данных до сих пор не выявлено, равно как и нет информации о том, что происходит после уплаты выкупа. Специалисты советуют в случае заражения отключить автозапуск вымогателя и удалить его из списка активных задач. Исполняемый файл Rapid Ransomware до перезагрузки системы может носить разное название, поэтому лучше завершить задачу для всех подозрительных процессов. Вредонос после перезагрузки отображается как info.exe в диспетчере задач.

    Отметим, что шифровальщики угрожают информационной безопасности различных пользователей, включая корпорации и объекты критической инфраструктуры. Руководителям предприятий рекомендуется проводить регулярное обучение персонала, а также пользоваться защитным ПО.