Achtung! Dieser neue Trojaner verschlüsselt alle Dateien!

Neue Ransomware RAPID entdeckt

Was ist RAPID?

Es handelt sich um einen so genannten Verschlüsselungs- oder Kryptotrojaner. Der Begriff leitet sich aus dem Englischen Ransom (Lösegeld) ab. Das Prinzip, nach dem die Ransomware RAPID arbeitet, ist an sich nicht neu.

Hat sich ein Kryptotrojaner erst mal auf einem Rechner eingenistet, verschlüsselt er nach einem aussschließlich ihm bekannten Algorithmus jede Datei, die er auf der Festplatte findet. Ob „Office“-Dokument, Bild oder E-Mail, vor den fiesen Biestern ist kein Format sicher. Binnen kurzem erscheint dann ein Erpresserschreiben auf dem Bildschirm, das den betroffenen User zur Zahlung eines Lösegelds auf ein anonymes Konto via Paypal oder Bitcoin auffordert – so besteht keine Möglichkeit, die Spur bis zum Erpresser zurückzuverfolgen. Bislang bekannte Varianten löschen sich nach vollbrachter „Tat“ eigenständig vom System.

Allerdings konnte man bei Malware dieser Art bislang durch Einspielen von Sicherheitskopien zumindest einige Dateien wiederherstellen oder neu erstellen.

RAPID allerdings geht noch einen Schritt weiter, berichtet BleepingComputer.

Der „Infektionsweg“ von RAPID ist derzeit nicht genau bekannt. Üblicherweise gelangt Ransomware auf demselben Weg ins System wie die meisten Schadprogramme: Durch infizierte E-Mail-Anhänge oder Sicherheitslücken im Browser. Das Tückische an RAPID: Hat er alle greifbaren Dateien verschlüsselt, nistet er sich, anstatt sich zu löschen, in der Autostart-Datei von Windows ein, fährt also quasi bei jedem Neustart des Computers mit hoch und setzt sein Zerstörungswerk umgehend fort.

Das bedeutet, dass RAPID jede neu erstellte Datei umgehend verschlüsselt und so die Arbeit am befallenen Rechner unmöglich wird. Der Trojaner löscht Sicherheitskopien und Wiederherstellungspunkte, beendet Datenbankprozesse und ersetzt jede Dateiendung durch „.rapid“ wodurch die Datei unlesbar wird. Anschließend wird in jedem Ordner sowie auf dem „Desktop“ eine Dateien namens How Recovery Files.txt erstellt, die die „Lösegeldmodalitäten“ enthält.

Wie verbreitet ist RAPID?

Seit dem ersten gemeldeten Fall Anfang Januar wurden rund 300 befallene Systeme gemeldet. Der genaue Verbreitungsweg ist bis dato nicht bekannt.

Was kann ich tun?

Zunächst alle Sicherheitsratschläge befolgen, die für jeden verantwortungsbewussten User Pflicht und gegen jede Art von Malware wirksam sind: Verdächtige Dateien nicht ausführen; Mailanhänge unbekannter Herkunft sofort löschen, anstatt sie zu öffnen. Eine guten Malwarescanner anschaffen, der auch Angriffe durch Ransomware aufdecken kann und alle Aktualisierungen sofort aufspielen. Backups erstellen.

Besteht der Verdacht, dass sich RAPID bereits auf dem System befindet, sollte man versuchen, den Prozess rapid.exe im Taskmanager zu beenden, während er sich anschickt, das System anzugreifen und Dateien zu verschlüsseln.
Weiterhin sollte jede unbekannte, nicht unbedingt benötigte Datei im Autostart deaktiviert werden.

Falls man den Taskmanager nicht mehr öffnen kann, besteht nur noch die Möglichkeit, den Rechner sofort auszuschalten und sich an Spezialisten um Rat zu wenden.

Auf KEINEN FALL sollte man selbsttätig den Rechner wieder hochfahren, weil RAPID ansonsten umgehend mit der Verschlüsselung fortfährt und der Schaden beständig größer wird.

Vom Eingehen auf die Lösegeldforderung raten Spezialisten dringend ab, da keine Garantie für die anschließende Wiederfreigabe der Dateien besteht. Im Übrigen lassen sich Rückschlüsse auf die „Zahlungsbereitschaft“ des jeweiligen Users ziehen, was zu neuerlichen Forderungen führen kann. Außerdem können auf diesem Weg sensible Daten in die Hände der Erpresser fallen.