近日，深信服安全團隊發現國內Rapid勒索家族最新變種，一企業內網出現中勒索病毒現象，中毒主機中的大部分文檔文件被加密為*.no_more_ransom，并彈出相應勒索信息。

病毒名稱：Rapid勒索病毒新變種

病毒性質：勒索病毒
加密后綴：.no_more_ransom
影響范圍：Rapid勒索家族曾經在2017年爆發過，最新變種很可能重新在國內外活躍。
危害等級：高危
傳播方式：通過RDP爆破、郵件、漏洞、垃圾網站掛馬等方式進行傳播，其自身不具備自主感染傳播能力。

病毒分析

Rapid勒索病毒在2017年爆發過一次，原始版本的加密后綴為.rapid。本次變種采用RSA+AES加密算法，將中毒主機系統中的大部分文檔文件加密為no_more_ransom后綴名的文件，然后對用戶進行勒索。

該勒索病毒主要通過RDP爆破、郵件、漏洞、垃圾網站掛馬等方式進行傳播，其自身不具備感染傳播能力，不會主動對局域網的其他設備發起攻擊。

 

 

Rapid勒索進程為info.exe。對應的路徑為AppData\Roaming\info.exe

該病毒的主體功能流程如下：

病毒自復制到AppData\Roaming目錄下。

 

 

病毒在執行關鍵功能前會對當前的主機語言進行判斷，若語言為俄羅斯（0x419），則不進行加密操作。接著病毒會刪除卷影備份。

此外，有別于一般勒索病毒在全盤加密之后退出，該病毒主體還會創建兩個定時任務來實現病毒自動和定時運行。這也意味著該勒索病毒是常駐的。

 

 

結束辦公軟件，被結束的軟件包括：

msftesql.exe、sqlagent.exe、sqlbrowser.exe、 sqlservr.exe、sqlwriter.exe oracle.exe、ocssd.exe、dbsnmp.exe

synctime.exe、 mydesktopqos.exe 、agntsvc.exe、isqlplussvc.exe、xfssvccon.exe  mydesktopservice.exe、ocautoupds.exe、agntsvc.exe、agntsvc.exe、agntsvc.exe、encsvc.exe、firefoxconfig.exe 、tbirdconfig.exe、ocomm.exe、mysqld.exe mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe 、excel.exe infopath.exe msaccess.exe、mspub.exe、onenote.exe、outlook.exe powerpnt.exe、steam.exe、thebat.exe 、thebat64.exe、thunderbird.exe、visio.exe  、winword.exe、 wordpad.exe、taskmgr.exe

結束殺毒軟件，為避免被查殺，該病毒具備反殺毒軟件功能，能夠結束以下殺毒軟件：

 

AVP.EXE、ekrn.exe、avgnt.exe、ashDisp.exe、NortonAntiBot.exe 、Mcshield.exe、avengine.exe、cmdagent.exe、smc.exe、persfw.exe 、pccpfw.exe、fsguiexe.exe、cfp.exe、msmpeng.exe

在注冊表中創建自啟動項，實現開機自動加密。

 

初始化公鑰和密鑰，并將其存儲在HKCU\Software\EncryptKeys路徑下。

 

加密數據，被加密文件的后綴被改為.no_more_ransom。

最后，加密完成后彈出勒索對話框對用戶進行勒索。

解決方案

針對已經出現勒索現象的用戶，由于暫時沒有解密工具，建議盡快對感染主機進行斷網隔離。

深信服提醒廣大用戶盡快做好病毒檢測與防御措施，防范此次勒索攻擊。

病毒檢測查殺

• 深信服為廣大用戶免費提供查殺工具，可下載如下工具，進行檢測查殺。https://edr.sangfor.com.cn/tool/SfabAntiBot.zip

• 深信服EDR產品及下一代防火墻、安全感知平臺等安全產品均具備病毒檢測能力，部署相關產品用戶可進行病毒檢測，其中EDR需升級到3.2.8及以上版本。
  
  

病毒防御

• 及時給電腦打補丁，修復漏洞。
  
• 對重要的數據文件定期進行非本地備份。
  
• 不要點擊來源不明的郵件附件，不從不明網站下載軟件。
  
• 盡量關閉不必要的文件共享權限。
  
• 更改賬戶密碼，設置強密碼，避免使用統一的密碼，因為統一的密碼會導致一臺被攻破，多臺遭殃。
  
• Rapid勒索軟件會利用RDP(遠程桌面協議），如果業務上無需使用RDP，建議關閉RDP。當出現此類事件時，推薦使用深信服下一代防火墻，或者終端檢測響應平臺（EDR）的微隔離功能對3389等端口進行封堵，防止擴散！
  
• 深信服下一代防火墻、終端檢測響應平臺（EDR）均有防爆破功能，防火墻開啟此功能并啟用11080051、11080027、11080016規則，EDR開啟防爆破功能可進行防御。
  
• 深信服下一代防火墻用戶，建議升級到AF805版本，并開啟智能安全檢測引擎SAVE，以達到最好的防御效果。
  
  最后，建議企業對全網進行一次安全檢查和殺毒掃描，加強防護工作。推薦使用深信服安全感知+下一代防火墻+EDR，對內網進行感知、查殺和防護。
  

  咨詢與服務

  
  
  

您可以通過以下方式聯系我們，獲取關于Rapid的免費咨詢及支持服務：

• 撥打電話400-630-6430轉6號線（已開通勒索軟件專線）
  
• 關注【深信服技術服務】微信公眾號，選擇“智能服務”菜單，進行咨詢
  
• PC端訪問深信服區 bbs.sangfor.com.cn，選擇右側智能客服，進行咨詢