近日，深信服安全团队接到国内企业反馈，称其中了勒索病毒。我们第一时间获取到了相应的病毒样本，确认此样本为Rapid勒索家族的变种，同样采用RSA+AES加密算法，将系统中的大部分文档文件加密为no_more_ransom后缀名的文件，然后对用户进行勒索。

Rapid勒索病毒在2017年爆发过一次，原始版本的加密后缀为.rapid。本次发现这次变种，国内还是首次发现，疑似这个家族开始活跃，目前此勒索病毒无法解密。

该勒索病毒主要通过RDP爆破、邮件、漏洞、垃圾网站挂马等方式进行传播，其自身不具备感染传播能力，不会主动对局域网的其他设备发起攻击，会加密局域网共享目录文件夹下的文件。

病毒分析

Rapid勒索进程为info.exe。

对应的路径在AppData\Roaming下

主体功能如下：

病毒入口处对当前的主机语言进行判断，若语言为俄罗斯（0x419），则不进行加密操作。接着病毒会删除卷影备份。最后还会创建两个定时任务来实现病毒自动运行。

病毒自复制到AppData\Roaming目录下。

结束办公软件

· msftesql.exe sqlagent.exe sqlbrowser.exe  sqlservr.exe

· sqlwriter.exe oracle.exe ocssd.exe    dbsnmp.exe

· synctime.exe mydesktopqos.exe agntsvc.exe

· isqlplussvc.exe  xfssvccon.exe  mydesktopservice.exe

· ocautoupds.exe agntsvc.exe agntsvc.exe agntsvc.exe

· encsvc.exe firefoxconfig.exe tbirdconfig.exe  ocomm.exe

· mysqld.exe mysqld-nt.exe mysqld-opt.exe dbeng50.exe

· sqbcoreservice.exe   excel.exe infopath.exe msaccess.exe

· mspub.exe onenote.exe outlook.exe powerpnt.exe

· steam.exe thebat.exe thebat64.exe thunderbird.exe

· visio.exe  winword.exe wordpad.exe taskmgr.exe

干掉杀毒软件

· AVP.EXE  ekrn.exe  avgnt.exe  ashDisp.exe

· NortonAntiBot.exe Mcshield.exe avengine.exe cmdagent.exe  

· smc.exe persfw.exe pccpfw.exe fsguiexe.exe cfp.exe

· msmpeng.exe

在注册表中创建自启动项，实现开机自动加密。

初始化公钥&密钥。

公钥和密钥存储在HKCU\Software\EncryptKeys路径下。

开始加密

被加密文件的后缀被改为.no_more_ransom

加密完后自动弹出勒索提示框。

解决方案

针对已经出现勒索现象的用户，由于暂时没有解密工具，建议尽快对感染主机进行断网隔离。

深信服提醒广大用户尽快做好病毒检测与防御措施，防范此次勒索攻击。

病毒防御

1、及时给电脑打补丁，修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件，不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码，设置强密码，避免使用统一的密码，因为统一的密码会导致一台被攻破，多台遭殃。

6、Rapid勒索软件会利用RDP(远程桌面协议），如果业务上无需使用RDP的，建议关闭RDP。当出现此类事件时，推荐使用深信服防火墙，或者终端检测响应平台（EDR）的微隔离功能对3389等端口进行封堵，防止扩散！

最后，建议企业对全网进行一次安全检查和杀毒扫描，加强防护工作。