Was ist RAPID?
Es handelt sich um einen so genannten Verschlüsselungs- oder Kryptotrojaner.
Der Begriff leitet sich aus dem Englischen Ransom (Lösegeld) ab. Das Prinzip, nach dem die Ransomware RAPID arbeitet,
ist an sich nicht neu.
Hat sich ein Kryptotrojaner erst mal auf einem Rechner eingenistet, verschlüsselt er nach einem aussschließlich ihm
bekannten Algorithmus jede Datei, die er auf der Festplatte findet. Ob „Office“-Dokument, Bild oder E-Mail, vor den fiesen Biestern
ist kein Format sicher. Binnen kurzem erscheint dann ein Erpresserschreiben auf dem Bildschirm, das den betroffenen User
zur Zahlung eines Lösegelds auf ein anonymes Konto via Paypal oder Bitcoin auffordert – so besteht keine Möglichkeit,
die Spur bis zum Erpresser zurückzuverfolgen. Bislang bekannte Varianten löschen sich nach vollbrachter „Tat“ eigenständig vom System.
Allerdings konnte man bei Malware dieser Art bislang durch Einspielen von Sicherheitskopien zumindest einige Dateien
wiederherstellen oder neu erstellen.
RAPID allerdings geht noch einen Schritt weiter, berichtet BleepingComputer.
Der „Infektionsweg“ von RAPID ist derzeit nicht genau bekannt. Üblicherweise gelangt Ransomware auf demselben Weg
ins System wie die meisten Schadprogramme: Durch infizierte E-Mail-Anhänge oder Sicherheitslücken im Browser.
Das Tückische an RAPID: Hat er alle greifbaren Dateien verschlüsselt, nistet er sich, anstatt sich zu löschen, in der
Autostart-Datei von Windows ein, fährt also quasi bei jedem Neustart des Computers mit hoch und setzt sein
Zerstörungswerk umgehend fort.
Das bedeutet, dass RAPID jede neu erstellte Datei umgehend verschlüsselt und so die Arbeit am befallenen Rechner
unmöglich wird. Der Trojaner löscht Sicherheitskopien und Wiederherstellungspunkte, beendet Datenbankprozesse und
ersetzt jede Dateiendung durch „.rapid“ wodurch die Datei unlesbar wird. Anschließend wird in jedem Ordner sowie auf
dem „Desktop“ eine Dateien namens How Recovery Files.txt erstellt, die die „Lösegeldmodalitäten“ enthält.
Wie verbreitet ist RAPID?
Seit dem ersten gemeldeten Fall Anfang Januar wurden rund 300 befallene Systeme gemeldet. Der genaue
Verbreitungsweg ist bis dato nicht bekannt.
Was kann ich tun?
Zunächst alle Sicherheitsratschläge befolgen, die für jeden verantwortungsbewussten User Pflicht und gegen jede
Art von Malware wirksam sind: Verdächtige Dateien nicht ausführen; Mailanhänge unbekannter Herkunft sofort löschen,
anstatt sie zu öffnen. Eine guten Malwarescanner anschaffen, der auch Angriffe durch Ransomware aufdecken kann und
alle Aktualisierungen sofort aufspielen. Backups erstellen.
Besteht der Verdacht, dass sich RAPID bereits auf dem System befindet, sollte man versuchen, den Prozess rapid.exe im
Taskmanager zu beenden, während er sich anschickt, das System anzugreifen und Dateien zu verschlüsseln.
Weiterhin sollte jede unbekannte, nicht unbedingt benötigte Datei im Autostart deaktiviert werden.
Falls man den Taskmanager nicht mehr öffnen kann, besteht nur noch die Möglichkeit,
den Rechner sofort auszuschalten und sich an Spezialisten um Rat zu wenden.
Vom Eingehen auf die Lösegeldforderung raten Spezialisten dringend ab, da keine Garantie für die anschließende
Wiederfreigabe der Dateien besteht. Im Übrigen lassen sich Rückschlüsse auf die „Zahlungsbereitschaft“ des jeweiligen
Users ziehen, was zu neuerlichen Forderungen führen kann. Außerdem können auf diesem Weg sensible Daten in die
Hände der Erpresser fallen.
Es handelt sich um einen so genannten Verschlüsselungs- oder Kryptotrojaner.
Der Begriff leitet sich aus dem Englischen Ransom (Lösegeld) ab. Das Prinzip, nach dem die Ransomware RAPID arbeitet,
ist an sich nicht neu.
Hat sich ein Kryptotrojaner erst mal auf einem Rechner eingenistet, verschlüsselt er nach einem aussschließlich ihm
bekannten Algorithmus jede Datei, die er auf der Festplatte findet. Ob „Office“-Dokument, Bild oder E-Mail, vor den fiesen Biestern
ist kein Format sicher. Binnen kurzem erscheint dann ein Erpresserschreiben auf dem Bildschirm, das den betroffenen User
zur Zahlung eines Lösegelds auf ein anonymes Konto via Paypal oder Bitcoin auffordert – so besteht keine Möglichkeit,
die Spur bis zum Erpresser zurückzuverfolgen. Bislang bekannte Varianten löschen sich nach vollbrachter „Tat“ eigenständig vom System.
Allerdings konnte man bei Malware dieser Art bislang durch Einspielen von Sicherheitskopien zumindest einige Dateien
wiederherstellen oder neu erstellen.
RAPID allerdings geht noch einen Schritt weiter, berichtet BleepingComputer.
Der „Infektionsweg“ von RAPID ist derzeit nicht genau bekannt. Üblicherweise gelangt Ransomware auf demselben Weg
ins System wie die meisten Schadprogramme: Durch infizierte E-Mail-Anhänge oder Sicherheitslücken im Browser.
Das Tückische an RAPID: Hat er alle greifbaren Dateien verschlüsselt, nistet er sich, anstatt sich zu löschen, in der
Autostart-Datei von Windows ein, fährt also quasi bei jedem Neustart des Computers mit hoch und setzt sein
Zerstörungswerk umgehend fort.
Das bedeutet, dass RAPID jede neu erstellte Datei umgehend verschlüsselt und so die Arbeit am befallenen Rechner
unmöglich wird. Der Trojaner löscht Sicherheitskopien und Wiederherstellungspunkte, beendet Datenbankprozesse und
ersetzt jede Dateiendung durch „.rapid“ wodurch die Datei unlesbar wird. Anschließend wird in jedem Ordner sowie auf
dem „Desktop“ eine Dateien namens How Recovery Files.txt erstellt, die die „Lösegeldmodalitäten“ enthält.
Wie verbreitet ist RAPID?
Seit dem ersten gemeldeten Fall Anfang Januar wurden rund 300 befallene Systeme gemeldet. Der genaue
Verbreitungsweg ist bis dato nicht bekannt.
Was kann ich tun?
Zunächst alle Sicherheitsratschläge befolgen, die für jeden verantwortungsbewussten User Pflicht und gegen jede
Art von Malware wirksam sind: Verdächtige Dateien nicht ausführen; Mailanhänge unbekannter Herkunft sofort löschen,
anstatt sie zu öffnen. Eine guten Malwarescanner anschaffen, der auch Angriffe durch Ransomware aufdecken kann und
alle Aktualisierungen sofort aufspielen. Backups erstellen.
Besteht der Verdacht, dass sich RAPID bereits auf dem System befindet, sollte man versuchen, den Prozess rapid.exe im
Taskmanager zu beenden, während er sich anschickt, das System anzugreifen und Dateien zu verschlüsseln.
Weiterhin sollte jede unbekannte, nicht unbedingt benötigte Datei im Autostart deaktiviert werden.
Falls man den Taskmanager nicht mehr öffnen kann, besteht nur noch die Möglichkeit,
den Rechner sofort auszuschalten und sich an Spezialisten um Rat zu wenden.
Auf KEINEN FALL sollte man selbsttätig den Rechner wieder hochfahren, weil RAPID ansonsten umgehend mit der
Verschlüsselung fortfährt und der Schaden beständig größer wird.
Vom Eingehen auf die Lösegeldforderung raten Spezialisten dringend ab, da keine Garantie für die anschließende
Wiederfreigabe der Dateien besteht. Im Übrigen lassen sich Rückschlüsse auf die „Zahlungsbereitschaft“ des jeweiligen
Users ziehen, was zu neuerlichen Forderungen führen kann. Außerdem können auf diesem Weg sensible Daten in die
Hände der Erpresser fallen.
Quelle:
mimikama.at
