感谢腾讯御见威胁情报中心来稿！

原文：https://mp.weixin.qq.com/s/V2nDMiLegWL2wUGjcy3mUg

一、概述
腾讯安全御见威胁情报中心检测到，Rapid勒索病毒变种在国内开始再度活跃，该病毒首次出现于2017年，由于早期该病毒加密文件后缀为Rapid，因此得名。自该病毒出现起，该病毒每年都会给一些国内企业造成不可逆转的加密破坏。由于该变种病毒暂无有效解密工具，我们提醒政企机构提高警惕。

Rapid勒索病毒在国内主要通过弱口令爆破方式传播，本次检测到国内变种加密文件完成后，会对其文件添加扩展后缀.cryptolocker，同时，病毒还会将原始文件名进行10字符随机修改，导致受害者无法识别被加密文件。

相比较于老版本病毒版本，除部分环境判断变化外，勒索方式也进行了改进，由早期邮箱沟通方式更改为使用TOR浏览器访问暗网交易解密工具的模式。

二、分析

病毒运行前首先结束大量服务防止文件占用，同时尝试结束部分安全软件相关进程。

MsMpEng.exe（Windows Defender ）

Ntrtscan.exe（趋势）

Avp.exe（卡巴斯基）

WRSA.exe（WebRoot）

Egui.exe（NOD32）

AvastUI.exe（avast）

加密前同样会结束大量数据占用类进程，与老版本Rapid对比序列一致，无太大变化：

病毒运行后将自身设置为计划任务，每隔1分钟运行一次，这也导致在病毒未清理完成前，可能导致系统内新文件被再次加密，同时将自身设置为的注册表run启动(HelloAV)。

病毒加密前先导入硬编码RSA公钥，该密钥使用Base64编码存放，使用前先对其进行解码

随后会生成用户RSA密钥对，将其存储在注册表

(HKEY_CURRENT_USER\Software\EncryptKeys)中，私钥被硬编码的RSA公钥加密，该注册表信息存放路径也与老版本Rapid一致

加密前会避开以下文件，主要为rapid病毒自身使用文件和部分系统文件

文件加密时会对每一个文件生成单独的AES密钥，AES密钥信息将会使用local_public_key进行加密

文件被加密后被修改为以下格式：10字符随机名.cryptolocker，而原始文件名同被加密的AES密钥信息，local_enc_private_key信息一同放置到文件末尾。

留下名为!DECRYPT_FILES.txt的勒索说明信息，要求用户使用Tor浏览器登录暗网进行解密交易流程。区别于老版本病毒使用邮件方式沟通，通过使用暗网进行自动化交易的模式也更加完善。

老版本病毒使用勒索信

新版本病毒使用勒索信

三、安全建议

企业用户：

个人用户：

OCs

MD5:

0957e81940af57c778c863cd7340191f