вторник, 2 января 2018 г.

Rapid

Rapid Ransomware

(шифровальщик-вымогатель, RaaS)


Этот крипто-вымогатель шифрует данные пользователей и серверов с помощью AES-256, а затем требует написать на email вымогателей, чтобы вернуть файлы. Оригинальное название: Rapid. На файле может быть написано, что угодно.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия:  Relec + XBot POS >> Rapid > Rapid 2.0 > Rapid 3.0

К зашифрованным файлам добавляется расширение .rapid

Активность этого крипто-вымогателя пришлась на конец декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
!!! README !!!.txt - ранний вариант
! How Recovery Files.txt - вариант, ставший известным

Содержание записки о выкупе:
Hello!
All your files have been encrypted by us
If you want restore files write on e-mail - jpcrypt@rape.lol

или другой вариант: 
Hello!
All your files have been encrypted by us
If you want restore files write on e-mail - rapid@rape.lol

Перевод записки на русский язык:
Привет!
Все твои файлы зашифрованы нами
Если хочешь вернуть файлы, пиши на email - jpcrypt@rape.lol




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Rapid Ransomware завершает процессы sql.exe, sqlite.exe, oracle.com, если они выполняются в системе. 

➤ Добавляется в Автозагрузку системы, чтобы шифровать новые файлы после перезагрузки ПК.  

➤ Удаляет теневые копии файлов командами: 
vssadmin.exe Delete Shadow /All /Quiet
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures

➤ Rapid генерирует уникальный AES-256-битный ключ для каждого файла и экспортирует его. Затем экспортированный файл AES-файла шифруется локальным открытым RSA-ключом. Затем Rapid шифрует файлы с помощью ключа AES-файла и записывает зашифрованный контент в исходный файл.
Затем добавляет нижний колонтитул в конец файла, который включает в себя:
- исходный размер файла;
- зашифрованный AES-ключ;
- зашифрованную локальную пару RSA-ключей.

➤ Повторю, Rapid Ransomware после проведенного шифрования не самоудаляется, как это делают другие шифровальщики, а продолжает шифрование все новые файлы на компьютере, подключаемых устройствах и дисках. Будьте осторожны! 

Список файловых расширений, подвергающихся шифрованию:
.aff, .bin, .blf, .cab, .chk, .dat, .dic, .dll, .doc, .docx, .exe, .hxl, .hxn, .ini, .ja, .js, .lnk, .library-ms, .list, .log, .msi, .msu, .png, .ppt, .pptx, .rdf, .regtrans-ms, .rsm, .sdi, .swidtag, .Targets, .wim, .xls, .xlsx, .xml, 
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы без собственного расширения, специальные файлы в браузере Mozilla Firefox (precomplete, removed-files) и файлы .manifest и пр.

Файлы, связанные с этим Ransomware:
!!! README !!!.txt
! How Recovery Files.txt
recovery.txt
info.exe
mstsc.exe
<random>.exe
FTS.EXE - декриптер от вымогателей

Расположения:
%APPDATA%\info.exe
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Encrypter"="%AppData%\info.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "userinfo"="%AppData%\recovery.txt"
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: jpcrypt@rape.lol
rapid@rape.lol
fileskey@qq.com
fileskey@cock.li
support@fbamasters.com
unlockforyou@india.com
и другие
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> + VT>>
VirusTotal анализ на Relec-Ransomware >>
Intezer анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 19 января 2018 / Update on January 19, 2018:
Расширение: .rapid
Файл: info.exe
Email: fileskey@qq.com и fileskey@cock.li
Содержание записки / Contents of note: 
Hello!
All your files have been encrypted by us
If you want restore files write on e-mail - fileskey@qq.com or fileskey@cock.li

Обновление от 19 января 2018:
Статья на BC >>
Расширение: .rapid
Файл: info.exe
Записки: How Recovery Files.txt и recovery.txt
Email: frenkmoddy@tuta.io
Результаты анализов: VT + HA
Содержание записки: 
Hello!
All your files have been encrypted by us
If you want restore files write on e-mail - frenkmoddy@tuta.io


Обновление от 21 января 2018 / Update on January 21, 2018:
Предположительное родство с Rapid Ransomware / Presumptive kinship with Rapid Ransomware. Вымогатели, видимо, принадлежат у другой группе. 
Расширение / Extension: .paymeme
Сумма выкупа / Sum of ransom: 0.4 BTC
Email: paymeme@cock.li и paymeme@india.com
Записка / Ransom-note: HOW TO RECOVER ENCRYPTED FILES.TXT
Содержание записки / Contents of note: 
Hello!
All your files have been encrypted by us
If you want restore files write on e-mail - paymeme@cock.li or paymeme@india.com
Your ID: 
***
Send me your ID and 1-3 small encrypted files(The total size of files must be less than 1Mb (non archived)) for free decryption. 
After that, I'll tell you the price for decryption all files.


Обновление от 12 февраля 2018 / Update on Febuary 12, 2018:
Расширение / Extension: .rapid and others
Вложение / Attachment: Notification-[number].zip {doc, docx, docm + macros}
Записка / Ransom-note: recovery.txt 
Email: decryptsupport@airmail.cc, supportlocker@firemail.cc
Записи реестра (Автозагрузка): HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ "Encrypter_074 " = "%UserProfile%\AppData\Roaming\info.exe"
Файл: %UserProfile%\AppData\Roaming\info.exe
Статья на сайте BC >>



Обновление от 14 февраля 2018:
Расширение / Extension: .rapid
Записки / Ransom-note: How Recovery Files.txt и recovery.txt
Email: lola2017@tuta.io
Запись в реестре: Encrypter_074
Содержание записки / Contents of note: 
Hello, dear friend!
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email - lola2017@tuta.io
and tell us your unique ID - ID-KN13NFTO
Другие файлы шифровальщика:
\AppData\Roaming\info.exe
\AppData\Roaming\recovery.txt
C:\Windows\Fonts\ctfmon.vbs
Топик на форуме >>


Обновление от 16 февраля 2018 / Update on Febuary 16, 2018:
Расширение / Extension: .rapid
Записка / Ransom-note: How Recovery Files.txt
Email: help@cairihi.com
BM-2cVeAHvZZjUf8M1v7AZKWeopqcYnTVFVZG@bitmessage.ch
Содержание записки / Contents of note: 
Hello, dear friend!
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email - help@cairihi.com or BM-2cVeAHvZZjUf8M1v7AZKWeopqcYnTVFVZG@bitmessage.ch
and tell us your unique ID - ID-XXXXXXXX


Обновление от 8 марта 2018:
Пост в Твиттере >>
Версия: Rapid Ransomware - RaaS
Расширение / Extension: .rapid
Строка: BleepingComputer_rapid
Email: alexgen@cock.li, alexgen@tuta.io
Записки: How Recovery Files.txt и recovery.txt 
Файл: info.exe
Результаты анализов: HA+VT


Обновление от 20 мая 2018:
🎥 Видеообзор от CyberSecurity GrujaRS >>
Расширение / Extension: .rapid
Email: help@wizrac.com
Записка / Ransom-note: How Recovery Files.txt
➤ Содержание записки / Contents of note: 
Hello, dear friend!
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email - help@wizrac.com
and tell us your unique ID - ID-XXXXXXXX
---
Email: help@wizrac.com уже был замечен в Scarab Ransomware (см. там обновление от 8 мая 2018).



Обновление от 28 июня 2018:
Расширение: .RPD
Email: anonimus852@tutanota.com, anonimus852@cock.li
➤ Содержание записки: 
YOUR DATA HAS BEEN ENCRYPTED!
Your files are NOT damaged! This modification is reversible.
If you want restore your files write on email - anonimus852@tutanota.com
Do no try to recover data, it's wasting your time.
Decryption of your files with the help of third parties maycause increased price (they add their fee to our) or you can becomea victim of a scam.
Every 7 days price doubles.
If within 24 hours we didn't answer you, write to our backup mail - anonimus852@cock.li
and tell us your unique ID
Результаты анализов: VT


Обновление от 30 июня 2018:
Расширение: .RPD
Email: asgard201@cock.li
Записка: How Recovery Files.txt
➤ Содержание записки: 
Hello, dear friend!
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email - asgard2018@cock.li
and tell us your unique ID - ID-XXXXXXXX

Обновление от 1 июля 2018:
Email: decrfile@protonmail.com
Содержание записки / Contents of note: 
   Hello, dear friend!
   All your files have been ENCRYPTED
   Do you really want to restore your files?
   Write to our email - decrfile@protonmail.com
   and tell us your unique ID - ID-W8LK4UK7
Скриншот записки >>
Обновление от 3 июля 2018:
Email: file.wtf@protonmail.com
Содержание записки / Contents of note: 
Hello, dear friend!
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email -
file.wtf@protonmail.com
and tell us your unique ID - ID-XXXXXXXXXX
Топик на форуме >> 

Обновление от 20 августа 2018:
Расширение: .no_more_ransom
Email: hersgory@india.com, auditt@cock.li
Записка о выкупе: How Recovery Files.txt
➤ Содержание записки: 
Hello, dear friend!
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email - hersgory@india.com or auditt@cock.li
and tell us your unique ID - ID-XXXXXXXX


Обновление от 1 сентября 2018:
Расширение: .no_more_ransom
Email: ataprof@cock.li, wolksvagen@protonmail.com
Записка о выкупе: How Recovery Files.txt
➤ Содержание записки:
Hello, dear friend!
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email - dataprof@cock.li or wolksvagen@protonmail.com
and tell us your unique ID - ID-XXXXXXXX

Обновление от 5 сентября 2018:
Email: rapidadmins@nigge.rs
Записка о выкупе: How Recovery Files.txt

Обновление от 10 сентября 2018:
Пост в Твиттере >>
Расширение: .no_more_ransom
Email: fastsupport@cock.li, patapuck@india.com
Записки: recovery.txt, How Recovery Files.txt
➤ Содержание записки:
Hello, dear friend!
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email - fastsupport@cock.li or patapuck@india.com
and tell us your unique ID - ID-XXXXXXXX
Файл: no_more_ransom.exe, LeagueClientUx.exe
Результаты анализов: VT + AR

Обновление от 10 сентября 2018:
Пост в Твиттере >>
Расширение: .no_more_ransom
Email: sofrdecrypt@firemail.cc, maxspeed@tutamail.com
Записки: recovery.txt, How Recovery Files.txt 
➤ Содержание записки:
Hello, dear friend!
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email - sofrdecrypt@firemail.cc or maxspeed@tutamail.com
and tell us your unique ID - ID-XXXXXXXX
Файл: info.exe, eslf.exe
Результаты анализов: VT + AR


Обновление от 12 сентября 2018:
Расширение: .RAPID
Email: lub@wizrac.com

Обновление от 16 сентября 2018:
Расширение: .no_more_ransom
Email: returnthefile@cock.li
➤ Содержание записки:
Hello, dear friend!
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email - returnthefile@cock.li
and tell us your unique ID - ID-XXXXXXXX


Обновление от 21 октября 2018: 
Расширение: .no_more_ransom
Записка: How Recoveru Files.txt
Email: sheldonleecooper@india.com




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть тест-декриптер
Для пробной дешифровки перейдите по ссылке >>
*
Если вы из России, то сообщите это вымогателям.
Говорят, что они расшифруют вам файлы бесплатно! *
Email-контакт: gufito@tutanota.com
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Rapid)
 Write-up (n/a), Topic of Support
 * 
 Thanks: 
 Michael Gillespie, quietman7
 Andrew Ivanov
 Alex Svirid
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton