12

Ten ransomware Cię nie zaatakuje, jeśli Twój komputer „gawarit pa ruski”

Cyberprzestępcy nigdy nie mają wolnego, a ich najnowszy wyczyn jakim jest opublikowanie wersji 2.0 Rapida, kolejnego ransomware atakującego komputery osobiste z systemem Windows na pokładzie szczególnie przykuł moją uwagę. Okazuje się, że ten nie zaatakuje Waszej maszyny, o ile ten korzysta z... rosyjskiej lokalizacji, która określa m. in. zawartość, która zostanie wyświetlona w niektórych programach.

Brzmi to oczywiście dziwnie i zasadniczo wiele mówi o „pochodzeniu” Rapida, ale o tym, że został on stworzony przez zespół najprawdopodobniej rosyjskich cyberprzestępców wiedziano już wcześniej. Nie oznacza to, że powinniście czym prędzej udać się do ustawień systemu Windows i zmienić lokalizację urządzenia na obcą. O ile jest to całkiem skuteczna metoda na uniknięcie zaszyfrowania plików, to jednak mimo wszystko pozwoli Wam ona ochronić się tylko przed Rapidem. I na dodatek – z powodów użytkowych nie ma to najmniejszego sensu.

Rapid najzwyczajniej w świecie przed dokonaniem jakichkolwiek czynności na plikach sprawdza lokalizację systemu w systemowym rejestrze. Jeżeli zostanie spełniony jeden prosty warunek – przełącznik będzie wskazywał na Rosję, to nic złego Wam się nie stanie. W każdym innym przypadku pliki zostaną zaszyfrowane. Pewną zmianą w stosunku do pierwszych wersji tego cyberzagrożenia, nie zmienia ono rozszerzeń zmienionych plików na „.rapid”, lecz na losowy ciąg, który nie wskazuje jednoznacznie akurat na ten typ ransomware.

rapid ransomware

Modus operandi Rapida pozostał jednak ten sam

Jak większość ransomware, Rapid infekuje komputer, dokonuje szyfrowania plików i wyświetla komunikat mówiący o konieczności opłacenia dostępu do programu deszyfrującego, który jest przedmiotem okupu. We wiadomości od twórców Rapida doskonale widać, że mamy do czynienia ze zaktualizowaną wersją cyberzagrożenia. Procedury są proste – ofiary powinny skontaktować się z przestępcami za pomocą poczty e-mail (adresy: supp1decr@cock.li oraz supp2decr@cock.li).

Eksperci wskazują na „wypadek przy pracy cyberprzestępców”. Okazuje się, że sądząc po sposobie ich działania, Rapid najprawdopodobniej został wypuszczony w świat przez przypadek. Kod źródłowy nie został odpowiednio zabezpieczony przed jego odczytaniem, co pozwoliło badaczom na dosyć szybkie przeanalizowanie zmian, jakie zostały dokonane przez twórców. Może to oznaczać, że docelowa wersja zagrożenia będzie nieco zmodyfikowana i może zawierać zupełnie nowe funkcje.

Kolejnym dowodem na to, iż opublikowanie Rapid 2.0 zostało dokonane przez przypadek jest fakt, iż dotąd nie znaleziono żadnych dowodów na istnienie jakiejkolwiek szerszej kampanii dystrybucyjnej dla tego ransomware. Zasadniczo możecie więc spać spokojnie i wcale nie musicie zmieniać lokalizacji systemu Windows, aby uniknąć zarażenia. Warto jednak pamiętać o pewnych zasadach bezpieczeństwa, o których mówimy zawsze przy okazji takich publikacji. Nie instalujcie, nie pobierajcie byle czego i omijajcie szemrane linki. To proste, trywialne wręcz porady, ale uwierzcie nam, że są one całkiem skuteczne.