Kannst du uns einen kleinen Gefallen tun? Wenn jeder, der unsere Rechercheberichte liest und hilfreich findet, dabei hilft, diese zu finanzieren, wird es mimikama.at auch weiterhin geben. Folgende Möglichkeiten bieten wir an: via PayPal,via Steady, via Banküberweisung

Neue Ransomware RAPID entdeckt

- Sponsorenliebe | Werbung -

Was ist RAPID?

Es handelt sich um einen so genannten Verschlüsselungs- oder Kryptotrojaner. Der Begriff leitet sich aus dem Englischen Ransom (Lösegeld) ab. Das Prinzip, nach dem die Ransomware RAPID arbeitet, ist an sich nicht neu.

Hat sich ein Kryptotrojaner erst mal auf einem Rechner eingenistet, verschlüsselt er nach einem aussschließlich ihm bekannten Algorithmus jede Datei, die er auf der Festplatte findet. Ob „Office“-Dokument, Bild oder E-Mail, vor den fiesen Biestern ist kein Format sicher. Binnen kurzem erscheint dann ein Erpresserschreiben auf dem Bildschirm, das den betroffenen User zur Zahlung eines Lösegelds auf ein anonymes Konto via Paypal oder Bitcoin auffordert – so besteht keine Möglichkeit, die Spur bis zum Erpresser zurückzuverfolgen. Bislang bekannte Varianten löschen sich nach vollbrachter „Tat“ eigenständig vom System.

Allerdings konnte man bei Malware dieser Art bislang durch Einspielen von Sicherheitskopien zumindest einige Dateien wiederherstellen oder neu erstellen.

RAPID allerdings geht noch einen Schritt weiter, berichtet BleepingComputer.

Der „Infektionsweg“ von RAPID ist derzeit nicht genau bekannt. Üblicherweise gelangt Ransomware auf demselben Weg ins System wie die meisten Schadprogramme: Durch infizierte E-Mail-Anhänge oder Sicherheitslücken im Browser. Das Tückische an RAPID: Hat er alle greifbaren Dateien verschlüsselt, nistet er sich, anstatt sich zu löschen, in der Autostart-Datei von Windows ein, fährt also quasi bei jedem Neustart des Computers mit hoch und setzt sein Zerstörungswerk umgehend fort.

Das bedeutet, dass RAPID jede neu erstellte Datei umgehend verschlüsselt und so die Arbeit am befallenen Rechner unmöglich wird. Der Trojaner löscht Sicherheitskopien und Wiederherstellungspunkte, beendet Datenbankprozesse und ersetzt jede Dateiendung durch „.rapid“ wodurch die Datei unlesbar wird. Anschließend wird in jedem Ordner sowie auf dem „Desktop“ eine Dateien namens How Recovery Files.txt erstellt, die die „Lösegeldmodalitäten“ enthält.

Wie verbreitet ist RAPID?

Seit dem ersten gemeldeten Fall Anfang Januar wurden rund 300 befallene Systeme gemeldet. Der genaue Verbreitungsweg ist bis dato nicht bekannt.

Was kann ich tun?

Zunächst alle Sicherheitsratschläge befolgen, die für jeden verantwortungsbewussten User Pflicht und gegen jede Art von Malware wirksam sind: Verdächtige Dateien nicht ausführen; Mailanhänge unbekannter Herkunft sofort löschen, anstatt sie zu öffnen. Eine guten Malwarescanner anschaffen, der auch Angriffe durch Ransomware aufdecken kann und alle Aktualisierungen sofort aufspielen. Backups erstellen.

Besteht der Verdacht, dass sich RAPID bereits auf dem System befindet, sollte man versuchen, den Prozess rapid.exe im Taskmanager zu beenden, während er sich anschickt, das System anzugreifen und Dateien zu verschlüsseln.
Weiterhin sollte jede unbekannte, nicht unbedingt benötigte Datei im Autostart deaktiviert werden.

Falls man den Taskmanager nicht mehr öffnen kann, besteht nur noch die Möglichkeit, den Rechner sofort auszuschalten und sich an Spezialisten um Rat zu wenden.

Auf KEINEN FALL sollte man selbsttätig den Rechner wieder hochfahren, weil RAPID ansonsten umgehend mit der Verschlüsselung fortfährt und der Schaden beständig größer wird.

Vom Eingehen auf die Lösegeldforderung raten Spezialisten dringend ab, da keine Garantie für die anschließende Wiederfreigabe der Dateien besteht. Im Übrigen lassen sich Rückschlüsse auf die „Zahlungsbereitschaft“ des jeweiligen Users ziehen, was zu neuerlichen Forderungen führen kann. Außerdem können auf diesem Weg sensible Daten in die Hände der Erpresser fallen.

Autor: Dagmar K. – mimikama.at

-Mimikama unterstützen-

Weil du diesen Bericht zu Ende gelesen hast…

Kannst du uns bitte einen kleinen Gefallen tun? Mehr Menschen denn je lesen die Artikel von mimikama.at, aber die Werbeerträge sinken rapide. Anders als andere Organisationen haben wir keine “Pay-Wall” eingerichtet, denn wir möchten unsere Inhalte für alle Interessierten so offen wie möglich halten. Der unabhängige Enthüllungsjournalismus von mimikama.at bedeutet jedoch harte Arbeit, er kostet eine Menge Zeit und auch Geld. Aber wir tun es, weil es wichtig und richtig ist, in Zeiten wie diesen Internetnutzer mit transparenten Informationen zu versorgen. Wir hoffen, dass du es schätzt, dass es keine Bezahlschranke gibt: Unserer Auffassung nach ist es demokratischer für Medien, für alle zugänglich zu sein und nicht nur für ein paar wenige, die sich dieses "Gut" leisten können. Durch deine Unterstützung bekommen auch jene einen Zugang zu diesen Informationen, die es sich sonst nicht leisten könnten. Wenn jeder, der unsere Rechercheberichte liest und mag, dabei hilft, diese zu finanzieren, wird es mimikama.at auch weiterhin geben.

Folgende Unterstützungsmöglichkeiten bieten wir an: via PayPal,via Steady