Alvorlighetsgrad:  
  (98/100)

Rapid ransomware. Hvordan fjerne? (Avinstallasjonsguide)

av Jake Doevan - - | Type: Ransomware

Rapid ransomware — et skadelig kryptovirus som rettes mot brukere fra USA og Europa ved bruk av falske skattemeldinger

Image of Rapid ransomware virus

Rapid ransomware er et ondsinnet kryptovirus som har sirkulert på nettet helt siden januar 2018. I løpet av de sju månedene det har eksistert, har malware-trusselen endret seg fire ganger. Viruset krypterer filer ved bruk av et AES-chiffer, og legger til filendelsen .rapid til alle låste filer. Den nyeste versjonen i denne familien er RPD ransomware. Det bruker filendelsen .RPD, og legger igjen filen How Recovery File.txt. Denne filen ber offeret om å sende et bestemt pengebeløp, og forklarer hvordan de kriminelle kan kontaktes. Beløpet varierer, først og fremst basert på hvor mange filer som blir krypterte, og hvor raskt offeret tar kontakt med virusutviklerne.

Navn Rapid
Klassifisering Ransomware
Versjoner

Rapid 2.0

Rapid 3.0

RPD

Farenivå Høyt. Endrer systeminnstillinger og krypterer personlige filer
Filendelse .Rapid; .RPD; .EZYMN
Kontaktadresse rapid@rape.lol; airkey@rape.lol; asgard2018@cock.li; supp1decr@cock.li; supp2decr@cock.li; demonslay335@rape.lol; anonimus852@tutanota.com, anonimus852@cock.li. 
Tilknyttede filer How Recovery Files.txt og !!! txt the README; How Recovery File.txt
Distribusjon Søppelpost med emnet “Please Note – IRS Urgent Message-164”, falske programvareoppdateringer
Målrettede land Spania, Frankrike, USA
Bli kvitt ransomware på en enkel måte med Reimage

.Rapid ransomware ble oppdaget for første gang i slutten av januar. Viruset er enda aktivt, og plager fremdeles folk fra Spania, Frankrike, USA og andre land i hele verden. Vi foreslår at du er ekstra forsiktig. Etter at malware-trusselen har infiltrert systemet, krypterer det nemlig filer og gjør dem utilgjengelige. Hovedforskjellen mellom dette viruset og lignende fil-krypterende virus, er at det forblir på systemet i det skjulte og fortsetter å krypterer nye dokumenter som brukeren oppretter.

Rapid ransomware infiltrerer sannsynligvis systemet ved hjelp av sosial manipulering og ondsinnet søppelpost. Da viruset ble spredt for første gang, ble navnet på den amerikanske skatteinnkreveren IRS brukt i e-poster.

Så snart trusselen har kommet seg inn i systemet, foretar det endringer og begynner å søke etter filendelser på enheten. Etter å ha kryptert filene, legger malware-trusselen igjen en feil kalt How Recovery Files.txt eller !!! txt the README. Begge disse inneholder identiske instruksjoner som sier:

Hello,
All your files have been encrypted by us
If you want to restore files write on e-mail  rapid@rape.lol or airkey@rape.lol. 

Rapid virus ransom noteIT-ekspertene våre advarer om at de kriminelle kan bruke ulike kontaktadresser. Dette kan være fordi de prøver å beskytte identitetene sine, og bytter e-postadresse jevnlig. Det er for øyeblikket kjent at følgende e-postadresser er tilknyttet Rapid-viruset: 

  • rapid@rape.lol; 
  • jpcrypt@rape.lol;
  • fileskey@qq.com;
  • fileskey@cock.li;
  • frenkmoddy@tuta.io;
  • unlockforyou@india.com;
  • support@fbamasters.com;
  • airkey@rape.lol;
  • help@wizrac.com
  • decrfile@protonmail.com
  • file.wtf@protonmail.com

Informasjonsfilen som ransomwaretrusselen Rapid legger igjen er informativ. Det er tydelig at de kriminelle ber offeret om å overføre en bestemt pengesum. Betalingen kan være basert på antall krypterte filer, eller hvor raskt offeret sender en e-post. Sikkerhetseksperter anbefaler imidlertid ikke at offeret kontakter utviklerne av Rapid-viruset.

Problemet er at ingen kan være sikre på at de kriminelle har et fungerende dekrypteringsprogram, eller at de lar deg bruke det selv om du betaler løsesummen. Derfor kan tapet ditt bli enda større. I tillegg til de krypterte filene, kan du nemlig også miste pengene dine.

Hvis du har funnet filer med endelsen .rapid, bør du derfor fokusere på å fikse datamaskinen din. Ransomware-trusselen kan ha satt inn ondsinnet kode i systemprosesser. Som et resultat av dette, kan enhetens hastighet blir redusert, og programmer kan begynne å krasje. Malware gjør dessuten systemet sårbart, og kan åpne døren for andre nettrusler. For å unngå skade, bør du derfor fjerne ransomware-trusselen Rapid. 

Du bør ikke prøve å finne og avslutte slike ondsinnede komponenter på egenhånd. Dette er en vanskelig oppgave. For å fjerne Rapid ransomware, bør du benytte et vel ansett sikkerhetsprogram, som Reimage. Hvis du har problemer med viruselimineringen, kan du se instruksjonene nedenfor.

Rapid ransomware versjoner 

Rapid 2.0 kom ut i mars 2018. Denne varianten ekskluderer russisktalende land fra de målrettede områdene, og krypterer ikke filer til folk som bor der. Viruset legger til åtte vilkårlige tall til filendelsen, og bruker normalt et SHA-256-shiffer for å kryptere dem. Meldingen fra dette viruset står i filen DECRYPT.[5-random-characters].txt. Her bes offeret om å kontakte utviklerne via supp1decr@cock.li eller supp2decr@cock.li. Vennligst IKKE bruk dem til å kontakte hackere som skjuler seg bak ransomware. Du bør kjøre et komplett systemskann med et oppdatert antispyware-program først, og deretter se på alternativene for datagjenoppretting.

Rapid 3.0 ble oppdaget i mai 2018. Dette rettes mot engelskspråklige brukere i USA og Europa. Viruset har et alternativt navn, nemlig Rapid ransomware v3. Så snart det er ferdig med å endre filene, legger ransomware-trusselen til filendelsen [random_numbers].EZYMN. Denne gangen er løsesummen satt til 0,7 BTC. Offeret får oppgitt en e-postadresse for å kontakte utviklerne: demonslay335@rape.lol. 

RPD ransomware er den nyeste varianten, som dukker opp i juni 2018. Det benytter filendelsen .RPD og gir ofrene to kontaktadresser: anonimus852@tutanota.com, anonimus852@cock.li. Denne ransomware-trusselen oppretter en unik identifikasjonsnøkkel for hvert av ofrene sine, og legger igjen filen How Recovery File.txt som ber om et forholdsvis høyt bitcoin-beløp. 

Meldingen til ransomware-trusselen RPD sier følgende:

Hello, dear friend!
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email – file.wtf@protonmail.com
and tell us your unique ID 

Nettkriminelle bruker falske e-poster fra skattemyndighetene for å spre .rapid-viruset

I det siste har gjengen som står bak Rapid-viruset begynt å sende ut e-poster som tilsynelatende er fra IRS. Internal Revenue Servise er en skatteinnkrever fra USA. De fleste e-poster har emnet: “Please Note – IRS Urgent Message-164” eller lignende.

Rapid ransomware spreads via spam

Den falske e-posten hevder at offeret ikke har betalt riktig skattesum til myndighetene, og må kompensere for det. Deretter oppfordres brukeren til å åpne vedlegget med «other useful information». Avsenderen hevder dessuten at skattebetaleren kun har én dag på å kontakte skattemyndighetene. Ellers ilegges det bøter.

Nettkriminelle benytter altså fremdeles sosial manipulering for å skremme ofrene til å tro at det haster å kontakte de påståtte myndighetene. Så snart brukeren pakker ut vedlegget, finner han/hun et ondsinnet word-dokument der offeret må aktivere makroer for å fortsette installasjonen. Så snart dette er gjort, kjører Rapid sin ondsinnede kode.

Det er heldigvis forholdsvis enkelt å gjenkjenne svindelen som brukes til å spre ransomware-trusselen Rapid. Først og fremst, vil aldri IRS kontakte brukere via e-post eller SMS. I tillegg er IRS et amerikansk organ, mens e-postadressene kommer fra Storbritannia. Samtidig vises den kjørbare filen på tysk. Vær på utkikk etter disse faresignalene. 

Usikre e-poster brukes ofte til å spre ransomware

Kriminelle bruker ofte mye tid på å utvikle teknikker som gjør det enkelt å infisere datamaskiner. Så langt har svindlerne benyttet seg av effektive malspam-kampanjer. Disse rettes først og fremst mot helsesektoren, men rammer også andre. De sender ut falske e-poster med ondsinnede vedlegg. På denne måten blir brukere lurt til å installere ransomware.

Søppelpost er imidlertid ikke den eneste metoden hackerne bruker for å distribuere alvorlige datainfeksjoner. I følge malware-analytikerne hos LesVirus.fr, kan malware komme inn i systemet når brukere: 

  • laster ned ulovlig innhold,
  • installerer falske programmer eller oppdateringer;
  • klikker på malware-infiserte annonser.

Du må derfor være forsiktig med innholdet du har lastet ned fra nettet. Du bør dessuten sørge for at alle programmer og operativsystemet ditt er oppdatert. Dette forhindrer at malware-trusler kan utnytte sikkerhetfeil for å igangsette et angrep.

Det er dessuten svært lurt å installere et vel ansett antivirus-program. Du bør imidlertid ikke glemme at selv det mest pålitelige sikkerhetsprogrammet ikke kan beskytte deg helt fra nettrusler hvis du er uansvarlig. 

Fjern ransomware-trusselen Rapid ved hjelp av et vel ansett sikkerhetsprogram

For å fjerne ransomware-trusselen, bør du bruke verktøy som kan stoles på. Kun på denne måten kan du være sikker på at du unngår andre, forbedrede versjoner av det samme viruset. Filkrypterende virus kan enkelt installere andre ondsinnede programmer og komplisere elimineringsprosessen. Disse programmene ligner på hverandre, men kun IT-eksperter kan fjerne Rapid manuelt.

For å fjerne Rapid automatisk, må du benytte et antivirus-program. Du kan bruke Reimage, Malwarebytes Malwarebytes eller Plumbytes Anti-MalwareNorton Internet Security for å gjøre prosessen enda enklere. Skadelige datatrusler har imidlertid en tendens til å blokkere brukere fra å laste ned profesjonelle antimalware-verktøy eller utføre et skann på enheten. Derfor kan du bruke et par verktøy for å dobbelsjekke. Du bør dessuten huske å rense systemet helt før du prøver å dekryptere dataene dine. 

Vi samarbeider med utviklerne av noen av produktene som nevnes på nettsiden vår. Les mer om dette i Bruksavtalen. Ved å laste ned noen av antispyware-programmene for å slette Rapid ransomware godtar du vårt personvern og vår bruksavtale.
Gjør det nå!
Last ned
Reimage (fjerner) Fornøyd-
garanti
Last ned
Reimage (fjerner) Fornøyd-
garanti
Kompatibel med Microsoft Windows Kompatibel med OS X
Hva gjør jeg hvis det mislykkes?
Hvis du ikke klarer å fjerne infeksjonen ved bruk av Reimage, bes du om å sende inn et spørsmål til kundestøtte med så mange detaljer som mulig.
Reimage er anbefalt for avinstallering av Rapid ransomware. Gratisskanneren lar deg sjekke om PC-en din er infisert eller ikke. Dersom du trenger å fjerne malware må du kjøpe den lisensierte versjonen av verktøyet Reimage.
Mer informasjon om dette programmet finnes i anmeldelsen av Reimage.
Presseomtaler om Reimage
Alternativ programvare
Plumbytes Anti-Malware
Vi har testet effektiviteten til Plumbytes Anti-Malware ved sletting av Rapid ransomware-annonser (2018-08-09)
Malwarebytes
Vi har testet effektiviteten til Malwarebytes ved sletting av Rapid ransomware-annonser (2018-08-09)
Hitman Pro
Vi har testet effektiviteten til Hitman Pro ved sletting av Rapid ransomware-annonser (2018-08-09)
Malwarebytes
Vi har testet effektiviteten til Malwarebytes ved sletting av Rapid ransomware-annonser (2018-08-09)

Manuell Rapid fjerningsguide for virus:

Fjern Rapid ved hjelp av Safe Mode with Networking

Hvis .rapid-viruset blokkerer antivirus-programmet ditt, må du starte datamaskinen på nytt i sikkerhetsmodus med nettverk. Denne prosessen forbereder systemet ditt på fjerning av ransomware-trusselen.

  • Steg 1: Start datamaskinen på nytt i Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Klikk Start Shutdown Restart OK.
    2. Når datamaskinen blir aktiv, trykker du F8 gjentatte ganger helt til du ser Advanced Boot Options-vinduet.
    3. Velg Safe Mode with Networking fra listen Velg 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Trykk Power-knappen i Windows innloggingsskjermen. Trykk og hold nede Shift, som er på tastaturet, og klikk Restart..
    2. Velg deretter Troubleshoot Advanced options Startup Settings og trykk Restart.
    3. Så snart datamaskinen din blir aktiv, velger du Enable Safe Mode with Networking i Startup Settings-vinduet. Velg 'Enable Safe Mode with Networking'
  • Steg 2: Fjerne Rapid

    Logg inn på den infiserte kontoen og start nettleseren. Last ned Reimage eller et annet legitimt antispionvare-program. Oppdater det før du kjører et fullstendig systemskann og fjerner ondsinnede filer som tilhører ransomware-programmet og fullfør fjerning av Rapid.

Dersom ransomware-programmet blokkerer Safe Mode with Networking, kan du prøve følgende metode.

Fjern Rapid ved hjelp av System Restore

Hvis sikkerhetsmodus ikke fungerer for å bli kvitt ransomware-trusselen, kan du prøve systemgjennoppretting for å starte antivirus-programmet:

  • Steg 1: Start datamaskinen på nytt i Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Klikk Start Shutdown Restart OK.
    2. Når datamaskinen blir aktiv, trykker du F8 gjentatte ganger helt til du ser Advanced Boot Options-vinduet.
    3. Velg Command Prompt fra listen Velg 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Trykk Power-knappen i Windows innloggingsskjermen. Trykk og hold nede Shift, som er på tastaturet, og klikk Restart..
    2. Velg deretter Troubleshoot Advanced options Startup Settings og trykk Restart.
    3. Så snart datamaskinen din blir aktiv, velger du Enable Safe Mode with Command Prompt i Startup Settings-vinduet. Velg 'Enable Safe Mode with Command Prompt'
  • Steg 2: Gjenopprett systemfilene og innstillingene
    1. Så snart Command Prompt-vinduet dukker opp, angir du cd restore og klikker Enter. Skriv inn 'cd restore' uten hermetegn og trykk 'Enter'
    2. Skriv inn rstrui.exe og trykk Enter igjen.. Skriv inn 'rstrui.exe' uten hermetegn og trykk 'Enter'
    3. Når et nytt vindu dukker opp, klikker du Next og velger et gjennopprettingspunkt før infiltreringen av Rapid. Etter å ha gjort dette, klikker du på Next. Når 'System Restore'-vinduet dukker opp, velger du 'Next' Velg gjenopprettingspunktet ditt og klikk 'Next'
    4. Klikk Yes for å starte systemgjenoppretting. Klikk 'Yes' og start systemgjenoppretting
    Så snart du gjenoppretter systemet til en tidligere dato, bør du laste ned og skanne datamaskinen med Reimage og sørge for at fjerning av Rapid er fullført.

Bonus: Gjenopprett dataene dine

Veiledningen som presenteres ovenfor er ment å hjelpe deg med å fjerne Rapid fra datamaskinen din. For å gjenopprette de krypterte filene anbefaler vi at du bruker en detaljert veiledning laget av sikkerhetsekspertene hos viruset.no.

For å gjenopprette krypterte .rapid-filer, kan du benytte følgende veiledning. Her tilbyr flere tips som kan brukes til å låse opp filer og begynne å bruke dem igjen.

Hvis filene dine krypteres av Rapid kan du bruke flere ulike metoder for å gjenopprette dem:

Få hjelp fra Data Recovery Pro

Hvis du ikke har sikkerhetskopier, kan du prøve dette profesjonelle gjenopprettingsverktøyet.

  • Last ned Data Recovery Pro (http://viruset.no/download/data-recovery-pro-setup.exe);
  • Følg stegene i installasjonsveiledningen til Data Recovery og installer programmet på datamaskinen din;
  • Kjør programmet og skann datamaskinen din etter filer kryptert av Rapid ransomware;
  • Gjenopprett dem.

ShadowExplorer kan være nyttig

Hvis Rapid-viruset ikke har slettet skyggekopiene, kan du dra nytte av programmet ShadowExplorer for å gjenopprette kryptert data.

  • Last ned Shadow Explorer (http://shadowexplorer.com/);
  • Følg installasjonsveiledningen til Shadow Explorer og installer programmet på datamaskinen din;
  • Kjør programmet og gå til nedtrekksmenyen i øvre venstre hjørne for å velge disken som inneholder de krypterte filene. Sjekk hvilke mapper det er;
  • Høyreklikk på mappen du ønsker å gjenopprette og velg “Export”. Du kan også velge hvor du ønsker å lagre filene.

Eksperter jobber for øyeblikket med et dekrypteringsprogram for Rapid.

Til slutt bør du alltid tenke på beskyttelse mot crypto-ransomware. For å beskytte datamaskinen din mot Rapid og annet ransomware bør du benytte en vel ansett anti-spionvare, som Reimage, Malwarebytes Malwarebytes eller Plumbytes Anti-MalwareNorton Internet Security.

Om forfatteren

Jake Doevan
Jake Doevan - Livet er for kort til å kaste bort tid på virus

Dersom denne kostnadsfrie fjerningsveiledningen har hjulpet deg og du er fornøyd med vår tjeneste, ber vi deg om å vurdere å foreta en donasjon for å holde tjenesten ved like. Selv det minste beløp blir satt pris på.

Kontakt Jake Doevan
Om selskapet Esolutions

Kilde: https://www.2-spyware.com/remove-rapid-ransomware.html

Veiledning for sletting på andre språk