Rapidランサムウェア

このランサムウェアはRapidと呼ばれ、ファイル名.拡張子.rapidですべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1 ランサムウェア実行ファイルコンパイラ情報]

[図2ウィンドウ属性のファイル情報]

ランサムウェア動作の特徴

• C ++ベースで作成され、ユーザーがデータ復旧を困難にするために、シャドウコピーの削除とWindowsの回復機能とエラー通知を無効にします。ランサムウェアは、最初の実行可能ファイルをRoamingフォルダにinfo.exeにコピーし、スタートアッププログラムレジストリに登録します。さらに、タスクスケジュールにWindowsログイン時に実行し、1分ごとに繰り返し実行するように登録します。難読化に使用されたキーは、レジストリ固有の場所に追加保存されます。

  
  [図3 シャドウコピーの削除に関連するコマンドとウィンドウの回復とエラー通知ウィンドウを無効にするコマンドを発行する動的コード]

  
  [図4 実行ファイルのコピーと起動プログラムの登録 動的コードと実際に生成されたファイルとレジストリ]

  
  [図5ウィンドウのジョブスケジューラにジョブを登録する動的コードおよび実際に生成されたスケジュールと動作内容]

  
  [図6難読化に使用されたキーをレジストリに格納する動的コードと実際に生成されたレジストリ]

感染結果

ガイダンスファイルは、各パスにが生成され、暗号化の進行時に<ファイル名.拡張子.rapid>にファイルを変更します。

[図7感染結果]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図8ブロックメッセージ]

ラピッドブロック映像を見に行く