RU EN

Новый вымогатель шифрует файлы по мере их создания

26.01.2018
Новый вымогатель шифрует файлы по мере их создания

Вымогатель Rapid Ransomware продолжает атаковать компьютеры под управлением Windows. Как сообщает BleepingComputer, зловред шифрует пользовательские файлы, после чего предлагает связаться с авторами программы для восстановления данных. При этом программа продолжает кодировать новые файлы, создаваемые пользователем.

Первые сведения о зловреде появились в конце прошлого года. На данный момент сайт ID-Ransomware, который занимается мониторингом и классификацией подобных угроз, сообщает о как минимум 300 компьютерах, зараженных с начала января. При этом реальные масштабы распространения шифровальщика могут быть крупнее.

После заражения программа-вымогатель очищает кэш службы теневого копирования Windows, останавливает процессы, отвечающие за работу с базами данных, такие как sql.exe или sqlite.exe, отключает автоматическое восстановление системы. В дальнейшем выполняется поиск и шифрование файлов. Пока нет точных сведений о том, какие именно данные подвергаются кодированию.

Достоверно известно, что под угрозу попадают документы Word, а также изображения в формате JPG и PNG. К имени зашифрованных объектов добавляется расширение .rapid. Скорее всего, деятельность зловреда не затрагивает ключевые системные файлы, так как на зараженном компьютере Windows продолжает работать.

После шифрования Rapid Ransomware создает на рабочем столе и в нескольких папках текстовый файл How Recovery Files.txt. В нем содержится электронный ящик вымогателя и предложение связаться для расшифровки файлов. Аналогичное требование вымогатель открывает и при загрузке системы. В настоящий момент зафиксировано 19 email-адресов, используемых злоумышленниками.

Пока нет способа восстановить зашифрованные файлы. О судьбе документов после уплаты выкупа, как и о сумме, которую требуют вымогатели, тоже нет сведений.

В случае заражения специалисты рекомендуют немедленно удалить Rapid Ransomware из списка активных задач и отключить автозапуск. До перезагрузки компьютера исполняемый файл шифровальщика может иметь разные имена, поэтому желательно остановить все подозрительные процессы. После перезапуска системы зловред отображается в диспетчере задач как info.exe.

Программы-вымогатели могут угрожать безопасности как отдельных пользователей, так и корпоративных систем. Злоумышленники используют уязвимости операционных систем и приложений для организации масштабных атак. Недавно под угрозой заражения оказались устройства на базе Android, а в ноябре прошлого года ботнет Necurs провел рассылку писем с шифровальщика Scarab.

 
Источник: threatpost.ru

Спасибо за доверие!

Специалист свяжется с Вами в ближайшее время.