Il ransomware Rapid è un virus estremamente pericoloso che si sta diffondendo attivamente in Europa e negli Stati Uniti in questo momento. Come è stato riferito, questo virus è stato lanciato nel gennaio 2018 e da allora ha infettato migliaia di utenti, molti dei quali in Europa. È un’infezione ransomware tipica e unica allo stesso tempo – presenta alcuni attributi tipici di questo tipo di infezione e allo stesso tempo ci sono alcune qualità che sono piuttosto strane.
Fino ad ora, agosto 2018, ci sono 4 varianti in totale di Rapid ransomware. Non sono molto diversi dal punto di vista tecnico ma hanno estensioni di file crittografate, cripto-email e note di riscatto separate. Sfortunatamente, non esiste ancora alcun decodificatore ufficiale per nessuna delle versioni ransomware menzionate, tuttavia il team di 2-viruses.com ha preparato una semplice guida (che troverete alla fine di questo articolo) su come rimuovere e potenzialmente ripristinare i file bloccati.
Cosa c’è di speciale nel ransomware Rapid
In genere, se si viene colpiti da un’infezione ransomware, questa esegue la scansione del computer alla ricerca di file archiviati sul disco rigido e quindi li crittografa, in modo che non è più possibile utilizzarli. Quindi, richiede il pagamento del riscatto per ricevere la chiave di decodifica e recuperare i file. In questo caso, il virus Rapid rimarrà attivo anche dopo la prima crittografia originale e tutti i nuovi file creati o scaricati sul computer verranno crittografati. Ciò significa che devi solo rimuovere questo virus dal tuo computer se vuoi continuare a utilizzare il computer senza dover reinstallare il sistema operativo o pagare effettivamente il riscatto.
Tuttavia, anche quando alcuni specialisti informatici sostengono che effettuare un pagamento per gli hacker è l’unica opzione per riavere i tuoi file, secondo il centro di Ricerca di Kaspersky 1 su 3 vittime sceglie in realtà questa opzione, ma il 20% di loro non riceve il proprio codice di decodifica così come promesso dagli hacker nella loro richiesta di riscatto. Questo è il motivo per cui mandare Bitcoin ai creatori di ransomware Rapid sarebbe come una scommessa, non saprai se non hai perso solo i tuoi file ma hai anche speso migliaia di dollari. Per ulteriori informazioni statistiche sulla visita del ransomware Comparitech.com.
Ora parliamo delle specifiche dell’infezione stessa. Come al solito, i virus ransomware crittografano i file aggiungendo una sorta di estensione alla fine di essi. In questo caso, il ransomware Rapid aggiungerà l’estensione “.rapid”. Quindi se hai un nome di file “photo.jpg”, dopo la crittografia sembrerà “photo.jpg.rapid” e da quel momento non potrai aprirlo. La prossima cosa: dopo la crittografia, un file chiamato “”! How Decrypt Files.txt”‘ verrà posizionato sul desktop. Contiene questo messaggio:
Hello!
All your files have been encrypted by us
If you want restore files write on e-mail – [email protected]
Come puoi vedere, non sono forniti ulteriori dettagli (la quantità di riscatto o il modo in cui dovresti pagare). Sei, invece, incoraggiato a contattare i criminali informatici su [email protected]. In effetti, ci sono più indirizzi email associati a questo virus, quindi possono variare. Suggeriamo di non farlo – pagare il riscatto o addirittura contattare quei truffatori è quasi sempre una cattiva idea. Come accennato in precedenza, la crittografia eseguita daò ransomware Rapid è un processo in corso e sottoporrà costantemente a scansione il tuo computer alla ricerca di nuovi file, quindi è molto importante rimuovere il virus stesso il prima possibile.
Come viene diffuso il ransomware Rapid
Il primo ransomware Rapid è stato beccato viaggiando tramite una campagna di e-mail di spam denominata “Please Note – IRS Urgent Message-164” che sembrava un messaggio inviato dall’Internal Revenue Service. In queste e-mail sono stati aggiunti file dannosi del virus come allegato. Gli hacker cercano di indurre gli utenti a pensare di aver ricevuto una lettera importante e che avrebbero dovuto aprire l’allegato per vedere ulteriori dettagli. Quindi, lezione numero uno: non aprire mai le e-mail dalla categoria spam, in particolare i file allegati se si desidera evitare il ransomware. Inoltre, dai un’occhiata alla guida per la protezione finale da ransomware.
Versioni del ransomware Rapid
|
Nome |
Data di rilascio |
Estensione |
Email di contatto |
Nota di riscatto |
|
Rapid (Originale) |
Gen, 2018 |
.Rapid, .RPD, .EZYMN .paymeme |
How Recovery Files.txt, !!! txt the README, How Recovery File.txt |
|
|
Rapid 2.0 |
Marzo, 2018 |
.[8 numeri casuali] |
DECRYPT.[5 random numbers].txt |
|
|
Rapid 3.0 |
Maggio, 2018 |
.Rapid .EZYMN |
How Recovery Files.txt !!! txt the README |
|
|
RPD |
Giugno, 2018 |
.RPD |
How Recovery File.txt |
|
|
Rapid V1 |
Agosto, 2018 |
.no_more_ransom |
Il ransomware Rapid 2.0
La seconda versione che è stata rilasciata dopo 2 mesi dal ransomware originale Rapid, ha tutte le stesse qualità e caratteristiche. L’unica differenza è l’estensione che consiste di 8 cifre diverse e una nota di riscatto il cui nome è composto da 5 cifre casuali. Un’altra caratteristica interessante è che Rapid 2.0 ha escluso la Russia dai paesi presi di mira, questo ha portato in seguito i ricercatori a credere che il virus Rapid provenisse da quella regione.
Il ransomware Rapid 3.0
Rapid 3.0 è l’aggiornamento dei precedenti due virus Rapid ransomware, notato a girovagare in rete nel maggio 2018. Questa versione si è diffusa maggiormente negli Stati Uniti e nei paesi dell’Europa occidentale come Spagna e Francia. L’algoritmo di crittografia rimane lo stesso (AES), ma l’importo del riscatto è davvero significativo – 0,7 BTC (circa 5000USD). Il nuovo nome della stringa del file bloccato è stato aggiunto a questa versione: .EZYMN. Infine una nuova crypto-email ([email protected]) è stato usata per ridicolizzare un noto ricercatore di malware MalwareHunterTeam, noto come @ demonslay335 su Twitter, perché ha aiutato molte persone a decodificare i loro file con i suoi decodificatori e così via.
Il ransomware RPD
La quarta variante non ha caratteristiche significative. Ancora si diffonde tramite allegati e-mail maligne, utilizza la crittografia AES per bloccare i file, aggiunge la stringa .RPD ai file inaccessibili, elimina la nota di riscatto ‘How Recovery File.txt’ e chiede di contattare l’indirizzo e-mail [email protected] per ulteriori istruzioni sul ripristino dei dati bloccati. L’importo del riscatto è diverso per ogni utente, ma la chiave di decrittografia probabilmente non essere inviata dopo il pagamento.
Il ransomware Rapid V1
Rapid V1 è l’ultima variante del virus Rapid. Utilizza lo stesso vecchio codice AES per crittografare i dati personali e aggiunge l’estensione .no_more_ransom a tutti i file interessati. Inoltre, si diffonde in un metodo tipico dei ransomware – malspam e può essere rilevato manualmente nella sezione dei processi in esecuzione come task ‘rapid.exe’. Complessivamente, rispetto alle altre versioni, non ci sono aggiornamenti significativi, fatta eccezione per l’e-mail modificata dell’hacker. La nota di riscatto dice:
Hello, dear friend!
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email – [email protected]
and tell us your unique ID
Maggiori dettagli tecnici su Risultati delle scansioni di VirusTotal.
Come rimuovere il ransomware Rapid e recuperare i file bloccati
Probabilmente, il modo migliore per rimuovere il virus come Rapid ransomware e le sue varianti è scansionare il tuo computer con un programma anti-malware e lasciargli fare il lavoro. Se non ne hai ancora uno o non hai individuato e rimosso Rapid ransomware, ti consigliamo vivamente di provare Spyhunter per questa attività. Uno di questi programmi dovrebbe facilmente rilevare e rimuovere tutti i file associati a Rapid. Assicurerà inoltre che il tuo computer non sarà mai più infettato da malware, quindi tienilo installato.
Strumenti di Malware rimozione automatica
(Win)
Nota: processo Spyhunter fornisce la rilevazione del parassita come Rapid Ransomware e aiuta a la sua rimozione per libero. prova limitata disponibile, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Nota: processo Combo Cleaner fornisce la rilevazione del parassita come Rapid Ransomware e aiuta a la sua rimozione per libero. prova limitata disponibile,
Sfortunatamente, i file che sono già stati crittografati potrebbero essere persi per sempre. Questo virus esegue comandi speciali che eliminano le copie shadow dei file, quindi, a meno che non si disponga di un’immagine di backup memorizzata su un’unità esterna o su un cloud, potrebbe non essere possibile eseguire un ripristino del sistema. Per ora, il decodificatore per questo specifico virus non è ancora disponibile, secondo il Progetto Nomoreransom.org.. Tuttavia, incoraggiamo a mantenere i file bloccati memorizzati nel PC, fino a quando i professionisti della sicurezza non troveranno il decodificatore speciale.
Come rimuovere Rapid Ransomware utilizzando il Ripristino di Sistema?
1. Riavvia il tuo computer in Modalità Provvisoria con Prompt di Comandi
Per Windows 7 / Vista/ XP
- Start → Spegni → Riavvia → OK.
- Premi ripetutamente F8 finché non apparirà una finestra contenente le opzioni avanzate di avvio.
- Scegli la Modalità Provvisoria con Prompt di Comandi.
Per Windows 8 / 10
- Premi Power nella schermata di login di Windows. Successivamente tieni premuto Shift e clicca su Riavvia.
- Scegli Troubleshoot → Opzione Avanzate → Impostazioni di avvio e clicca Riavvia.
- Non appena si caricherà, seleziona Abilita Modalità Provvisoria con Prompt di Comandi dalla lista delle impostazioni di avvio.
2. Ripristinare i file di sistema e le impostazioni
- Una volta caricato il Prompt dei Comandi, inserisci cd restore e premi invio.
- Successivamente digita rstrui.exe e premi nuovamente invio.
- Clicca “Avanti” nelle finestre che appariranno.
- Seleziona uno dei punti di ripristino disponibili prima che Rapid virus si sia infiltrato nel tuo sistema e clicca su “Avanti”.
- Per avviare il ripristino di sistema clicca su "Si"
2. Rimozione complete di Rapid 2.0 ransomware
Dopo aver ripristinato il tuo sistema, ti consigliamo di scansionare il tuo computer con un anti-malware, come Spyhunter per rimuovere tutti i file malevoli collegati a Rapid 3.0 ransomware.
3. Ripristino dei file corrotti da RPD ransomware utilizzando le Copie Shadow
Se non utilizzassi le opzioni di ripristino di sistema nel tuo sistema operativo, esiste anche la possibilità di utilizzare gli snapshot delle copie shadow. Queste ultime salvano copie dei tuoi file nel momento in cui lo snapshot viene creato. Solitamente Rapid V1 ransomware cercherà di cancellare tutte le copie Shadow esistenti, per questo motivo questo metodo potrebbe non funzionare su tutti i computer. Tuttavia, provare non costa nulla.
Le Copie Shadow sono disponibili solo su Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Esistono due modi per recuperare i tuoi file attraverso le copie Shadow. Potrai farlo sia tramite le versioni precedenti di Windows sia tramite Shadow Explorer.
a) Versioni precedenti di WindowsClicca con il destro sul file criptato e seleziona Proprietà>Versioni precedenti. Adesso sarai in grado di vedere tutte le copie esistenti di quel particolare file e il momento in cui sono state salvate come Copie Shadow. Scegli la versione del file che vuoi recuperare e clicca su Copia, nel caso in cui volessi salvarlo in una directory di tua scelta. O Ripristina nel caso in cui volessi sostituirlo con quello esistente, ovvero il file criptato. Se volessi vedere prima il suo contenuto, clicca su Apri.
E’ un programma che può essere trovato online gratuitamente. Potrai scaricare sia la versione completa sia quella portatile di Shadow Explorer. Apri il programma. Nell’angolo superiore sinistro seleziona il drive in cui hai salvato il file che vuoi ripristinare. Adesso vedrai tutte le cartelle presenti il quel drive. Per selezionare un’intera cartella, clicca con il destro e seleziona “Esporta”. Successivamente scegli dove vuoi che venga salvata.
Nota: In molti casi è impossibile ripristinare i file corrotti dai moderni ransomware. Per questo motivo ti consiglio di utilizzare per precauzione un buon software per il backup su cloud. Ti consiglio di dare un’occhiata a Carbonite, BackBlaze, CrashPlan o Mozy Home.