После заражения программа-вымогатель очищает кэш службы теневого копирования Windows, останавливает процессы, отвечающие за работу с базами данных, такие как sql.exe или sqlite.exe, отключает автоматическое восстановление системы. В дальнейшем выполняется поиск и шифрование файлов. Пока нет точных сведений о том, какие именно данные подвергаются кодированию.
Достоверно известно, что под угрозу попадают документы Word, а также изображения в формате JPG и PNG. К имени зашифрованных объектов добавляется расширение .rapid. Скорее всего, деятельность зловреда не затрагивает ключевые системные файлы, так как на зараженном компьютере Windows продолжает работать.
После шифрования Rapid Ransomware создает на рабочем столе и в нескольких папках текстовый файл How Recovery Files.txt. В нем содержится электронный ящик вымогателя и предложение связаться для расшифровки файлов. Аналогичное требование вымогатель открывает и при загрузке системы. В настоящий момент зафиксировано 19 email-адресов, используемых злоумышленниками.
Пока нет способа восстановить зашифрованные файлы. О судьбе документов после уплаты выкупа, как и о сумме, которую требуют вымогатели, тоже нет сведений.
В случае заражения специалисты рекомендуют немедленно удалить Rapid Ransomware из списка активных задач и отключить автозапуск. До перезагрузки компьютера исполняемый файл шифровальщика может иметь разные имена, поэтому желательно остановить все подозрительные процессы. После перезапуска системы зловред отображается в диспетчере задач как info.exe.
Программы-вымогатели могут угрожать безопасности как отдельных пользователей, так и корпоративных систем. Злоумышленники используют уязвимости операционных систем и приложений для организации масштабных атак. Недавно под угрозой заражения оказались устройства на базе Android, а в ноябре прошлого года ботнет Necurs провел рассылку писем с шифровальщика Scarab.