Rapid: باج‌افزاری که فایل‌های جدید را هم رمزگذاری می‌کند

کمیته رکن چهارم – باج‌افزار جدیدی با عنوان Rapid در حال انتشار است که پس از رمزگذاری فایل‌های موجود بر روی دستگاه آلوده شده همچنان محتوای دیسک سخت را تحت رصد قرار داده و در صورت ایجاد هر فایل جدید اقدام به رمزگذاری آن می‌کند. هر چند این ویژگی تنها منحصر به Rapid نیست اما رفتار رایجی در میان باج‌افزارها محسوب نمی‌شود.

با اجرای این باج‌افزار، پروسه‌ای با عنوان rapid.exe از طریق فرامین زیر نسخه‌های موسوم به Windows Shadow Volume را حذف کرده و امکان بازیابی خودکار را غیرفعال می‌کند:

• vssadmin.exe Delete Shadow /All /Quiet
• cmd.exe /C bcdedit /set {default} recoveryenabled No
• cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures

هچنین Rapid پروسه‌های پایگاه داده زیر را نیز متوقف می‌کند:

• sql.exe
• sqlite.exe
• oracle.com

هدف از متوقف کردن این پروسه‌ها آزاد شدن بانک‌های داده و در نتیجه فراهم شدن امکان رمزگذاری فایل آنها توسط Rapid است.

این باج‌افزار به فایل‌های رمزگذاری شده پسوند rapid را الصاق می‌کند.

ضمن اینکه اطلاعیه باج‌گیری خود را با عنوان How Recovery Files.txt نیز در پوشه‌های مختلفی از جمله در Desktop کپی می‌کند.

در اطلاعیه باج‌گیری نسخه‌های مختلف این باج‌افزار از ایمیل‌های زیر استفاده شده است:

• frenkmoddy@tuta.io
• jpcrypt@rape.lol
• support@fbamasters.com
• unlockforyou@india.com
• rapid@rape.lol
• fileskey@qq.com
• fileskey@cock.li

با راه‌اندازی مجدد شدن دستگاه، نام پروسه به info.exe تغییر داده می‌شود.

همچنین با ایجاد کلیدهای زیر در محضرخانه در هر بار راه‌اندازی شدن دستگاه خود را به صورت خودکار به اجرا در می‌آورد:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “Encrypter”=”%AppData%\info.exe”
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “userinfo”=”%AppData%\recovery.txt”

همانطور که اشاره شد باج‌افزار Rapid پس از تکمیل رمزگذاری فایل‌های کاربر، همچنان اضافه شدن فایل‌های جدید را زیر نظر داشته و در صورت ایجاد هر فایل جدید آن را نیز رمزگذاری می‌کند.

متاسفانه در حال حاضر، امکان بازگردانی فایل‌های رمزگذاری شده توسط این باج‌افزار بدون در اختیار داشتن کلید رمزگشایی فراهم نیست.

توضیح اینکه نمونه بررسی شده در این خبر با نام‌های زیر شناسایی می‌شود:

McAfee:
   – RDN/Generic.hbg

Bitdefender:
   – Gen:Trojan.Heur.JP.4CW@a4kbhRfi

مچون همیشه، برای ایمن ماندن از گزند باج‌افزارها، رعایت موارد زیر توصیه می‌شود:

• از ضدویروس قدرتمند و به‌روز استفاده کنید.
• از اطلاعات سازمانی به‌صورت دوره‌ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده‌های حیاتی توصیه می‌شود. بر طبق این قاعده، از هر فایل سه نسخه می‌بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایل‌ها باید بر روی دو رسانه ذخیره‌سازی مختلف نگهداری شوند. یک نسخه از فایل‌ها می‌‌بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
• از نصب فوری آخرین اصلاحیه‌های امنیتی اطمینان حاصل کنید.
• به دلیل انتشار برخی از باج‌افزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، با استفاده از این راهنما نسبت به پیکربندی صحیح آن اقدام کنید.
• با توجه به انتشار بخش قابل توجهی از باج‌افزارها از طریق فایل‌های نرم‌افزار Office حاوی ماکروی مخرب، تنظیمات امنیتی ماکرو را بنحو مناسب پیکربندی کنید. برای این منظور می‌توانید از این راهنما استفاده کنید.
• آموزش و راهنمایی کاربران سازمان به صرف‌نظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل‌ها داشته باشد. برای این منظور می‌توانید از این داده‌نمایی‌ها استفاده کنید.
• پودمان RDP را غیرفعال کرده یا حداقل کاربران محدود با گذرواژه‌های پیچیده را مجاز به استفاده از آن کنید.
• دسترسی به پوشه‌های اشتراکی در حداقل سطح ممکن قرار داده شود.
• ایمیل‌های دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور می‌توانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید. 
• سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج‌افزار آلوده نمی‌شود.
• در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، شرکت کنید. شرکت در این دوره‌ها برای مشتریان شرکت مهندسی شبکه گستر رایگان است.