شیوع باج افزار خطرناک Rapid

یک نوع جدید از Rapid ransomware در حال حاضر با استفاده از malspam توزیع می شود که وانمود کردند که از سوی IRS می باشد. این باج افزار ابتدا توسط Derek Knight شناسایی شده است، این کمپین ترکیبی از کشورهایی می باشد که جزئی از نهاد IRS آمریکایی هستند. ایمیل آدرس های ارسالی به زبان انگلیسی می باشند ولی ضمیمه آن به زبان آلمانی می باشد.

این کمپین (malspam) ایمیل ها را با موضوع "Please Note - IRS Urgent Message-164" ارسال می کند و به همین خاطر گیرنده تصور می کند که ایمیل از سوی real estate taxes می باشد. به همین منظور دریافت کننده را برای باز کردن پیوست به منظور دیدن یک گزارش کامپایل شده در مورد اینکه چقدر بدهکار می باشد دعوت می کند.

فایل ضمیمه ایمیل یک فایل آرشیو به نام Notification-[number].zip می باشد. درون این فایل آرشیو یک فایل ورد مخرب می باشد که قربانیان نیاز داشتند که به ترتیب بر روی Enable Editing و به دنبال آن Enable Content کلیک کنند تا ماکروها اجرا شوند. هنگامی که ماکرو اجرا می شود، فایل اجرایی Rapid Ransomware را دانلود می کند و آن را اجرا می کند.

درست مانند گونه های پیشین باج افزار Rapid Ransomware رایانه را اسکن و رمزگذاری می کند. هنگامی که یک فایل رمزگذاری می شود پسوند .Rapid را به فایل رمزگذاری شده اضافه میکند. به عنوان مثال، یک فایل به نام test.jpg هنگامیکه رمزگذاری می شود به test.jpg.rapid تغییر نام می دهد.

هنگامیکه Rapid Ransomware رمزگذاری یک کامپیوتر را به اتمام می رساند، یادداشت های متعددی با نام recovery.txt باز خواهد کرد. این یادداشت های باج به قربانی اعلام می کنند که به ترتیب با ایمیل های decryptsupport@airmail.cc و supportlocker@firemail.cc تماس بگیرد و دستور العمل های پرداخت رو دریافت کند.

بر خلاف اکثر باج افزارها این باج افزار خود را پیکربندی می کند که بعد از هر بار لاگین کردن به رایانه از مسیر %UserProfile%AppDataRoaminginfo.exe اجرا شود. مسیر Autorun آن HKCUSoftwareMicrosoftWindowsCurrentVersionRun "Encrypter_074 " = "%UserProfile%AppDataRoaminginfo.exe" می باشد.

این عمل که باج افزار خود را پیکربندی می کند که بعد از هر بار لاگین شروع به کار کند به باج افزار این امکان را می دهد که فایل های جدید را نیز رمزگذاری کند.

بنابراین مهم است که فرآیند info.exe که به باج افزار Rapid Ransomware مرتبط است را خاتمه دهید و سپس نام فایل را به چیزی شبیه rapid.exe.dis تغییر دهید، به این ترتیب باج افزار دوباره اجرا نمی شود.

متاسفانه، در این زمان هیچ راهی برای رمزگشایی فایلهای رمزگذاری شده Rapid Ransomware به صورت رایگان وجود ندارد.