Rapid 3.0 Ransomware
(шифровальщик-вымогатель)
Translation into English
Как удалить? Как расшифровать? Как вернуть данные?
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление.
См. также статьи УК РФ:
ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)
ст. 272 "Неправомерный доступ к компьютерной информации"
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"
Информация о шифровальщике
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.07 BTC, чтобы вернуть файлы. Оригинальное название: rapid3.0 (указано в коде) и RAPID v3 (указано в записке). На файле написано.© Генеалогия: Rapid > Rapid 2.0 > Rapid 3.0
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение как и у варианта Rapid 2.0, по шаблону: .[5-random-chars]
К зашифрованным файлам добавляется составное расширение по шаблону .
Активность этого крипто-вымогателя пришлась на середину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Известно о пострадавших из следующих стран: США, Иран, Германия, Япония, Бенин, Южная Корея, Индонезия, Испания, Малайзия, Индия.
Сначала я написал о записке следующее.
Записка с требованием выкупа называется как и у варианта Rapid 2.0, по шаблону: DECRYPT.[5-random-chars].txt
Позже оказалось (см. Hybrid Analysis ниже), что у записки статичное название: ReadMe.txt
Содержание записки о выкупе:
[ RAPID RANSOMWARE V3 ]
Hello, dear friend!
All your files have been ENCRYPTED
The only way to decrypt your files is to receive the private key and decryption program.
To get the key and decryption program see instruction below:
1. Download Tor browser - https://www.torproject.org/
2. Install Tor browser
3. Run Tor Browser
4. In the Tor Browser open website: http://vgon3ggilr4vu32q.onion/?id=BTC
Note! This page available via Tor Browser only!
5. Follow the instruction at this website
On our page you can see all instruction how to decrypt your system and decrypt for free 1 file!
ATTENTION!
Do not try to decrypt your data using third-party software, it may cause permanent data loss.
Перевод записки на русский язык:
Здравствуй, дорогой друг!
Все ваши файлы были ЗАШИФРОВАНЫ
Единственный способ расшифровать ваши файлы - это получить секретный ключ и программу дешифрования.
Для получения ключа и программы дешифрования см. Инструкцию ниже:
1. Загрузите Tor-браузер - https://www.torproject.org/
2. Установите Tor-браузер
3. Запустите Tor-браузер
4. В открывшемся Tor-браузере: http://vgon3ggilr4vu32q.onion/?id=BTC
Заметка! Эта страница доступна только через Tor-браузер!
5. Следуйте инструкциям на этом веб-сайте
На нашей странице вы можете увидеть все инструкции по расшифровке вашей системы и расшифровке бесплатно 1 файла!
ВНИМАНИЕ!
Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к потере данных.
Скриншоты с сайта вымогателей
В качестве поддержки вымогатели нахально демонстрируют свой новый email: demonslay335@rape.lol
В котором используется ник demonslay335, принадлежащий на форуме BleepingComputer, в Твиттере и на других сайтах известному исследователю вредоносных программ и разработчику ID-Ransomware Майклу Джиллеспи. Им это известно, потому они так выделили этот адрес.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов с помощью команды:
wmic shadowcopy delete
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
DECRYPT.[5-random-chars].txt
ReadMe.txt
<random>.exe - случайное название
Rapid Decryptor
Расположения:
\Desktop\ ->
\User_folders\ ->
%APPDATA%\54A180163002F493\ReadMe.txt
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: vgon3ggilr4vu32q.onion/?id=BTC
Email-вымогателей: demonslay335@rape.lol
BTC-вымогателей: 1HoUDMGrNkeG1WoxiRVJCxUXdY35EwZq1i
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ VMRay анализ >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Rapid Ransomware - январь 2018
Rapid 2.0 Ransomware - март 2018
Rapid 3.0 Ransomware - май 2018
Rapid-Gillette Ransomware - март 2019
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 24 мая 2018:
Расширение: .EZYMN
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (ID as Rapid 3.0) Write-up, Topic of Support *
Thanks: MalwareHunterTeam, Michael Gillespie Andrew Ivanov (author) * *
© Amigo-A (Andrew Ivanov): All blog articles.
