距离第一版发布还不到两个月的时间,Rapid勒索软件背后的开发团队就于本周五发布了最新的版本(即2.0),正通过冒用美国国内税务局(Internal RevenueService,IRS)的名义发送的网络钓鱼电子邮件进行传播。

与之前的版本相比,这个新版本并不包含任何重大修改,但仍进行了一些细微的改变。

第一个改变在于Rapid 2.0增加了一个新的代码模块,用于在启动加密操作之前查看受害者计算机的“语言和区域设置”。如果受害者将其设置为俄语,则勒索软件不会进行文件加密。

第二个改变则体现在扩展名上面。具体来讲,1.0版本在加密文件后,会将被加密文件的文件名扩展名修改为“.rapid”。例如,test.jpg文件在被加密后,文件名将被修改为test.rapid。这使得受害者能够很容易地识别出自己的计算机感染的是哪一种勒索软件。

不过,这个新的2.0版本则并没有沿用这个方式,它在加密文件后会使用一个随机生成的字符串作为被加密文件的新扩展名,比如下图中的“.GJLLW”。

那么问题就来了,Rapid 2.0的受害者如何知道自己的计算机到底感染了何种勒索软件呢?其实很简单,在Rapid 2.0放置的赎金票据顶部已经明确指出“你所有的文件都已经被勒索软件Rapid 2.0加密(-ALL YOUR FILES ARE ENCRYPTED BY RAPID 2.0 RANSOMWAER-)”。另外,与1.0版本相比,2.0版本赎金票据的内容也进行了大幅修改,这也应该算是第三个改变。

Rapid 2.0仍然要求受害者通过电子邮件与勒索软件的开发团队进行联系,并使用supp1decr@cock[.]li和supp2decr@cock[.]li作为联系地址。

安全研究人员MalwareHunter表示,Rapid 2.0似乎是被意外发布的,因为勒索软件的源代码并没有打包,并且包含有很多调试信息,这些足以帮助研究人员对其源代码进行快速分析。

目前并没有出现大规模传播Rapid 2.0的恶意活动,不过鉴于Rapid 1.0的成功,Rapid的开发团队完全可以将“已成熟”的传播渠道用于传播Rapid 2.0,如果他们愿意的话。

Rapid 2.0的IOC信息

赎金票据完整内容:

– ALL YOUR FILES ARE ENCRYPTED BY RAPID 2.0 RANSOMWARE –

Dont worry, you can return all your files!

Attention!

All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key.

The only method of recovering files is to purchase a Rapid Decryptor.

This software will decrypt all your encrypted files and will delete Rapid from your PC.

To get this software you need write on our e-mail:

  1. supp1decr@cock.li
  2. supp2decr@cock.li (if first email unavailable)

What guarantees do we give to you?

You can send one of your encrypted file from your PC and we decrypt him for free.

But we can decrypt only 1 file for free. File must not contain valuable information

Attention!

Dont try to use third-party decryptor tools because it will destroy your files.

赎金票据文件名:

DECRYPT.[4-random-characters].txt

联系人电子邮箱地址:

supp1decr@cock[.]li

supp2decr@cock[.]li

哈希值:

233767c999cb351c19f993039552a3be754cc0bb87304ab50b74433015b08316

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。