Rapid 랜섬웨어는 지난 2018년 초 국내에 소개된 뒤 활발한 활동을 벌이고 있다.

Rapid 랜섬웨어의 특징은 일반적인 랜섬웨어와 다르게 암호화 행위가 종료된 뒤에도 지속성을 유지하여 활성화 상태로 암호화 행위를 수행하는 것이다.

즉, 새롭게 생성한 파일도 암호화하며, 지속적으로 암호화에 방해가 되는 프로세스를 종료시켜 감염된 PC의 복구 시도조차 할 수 없도록 한다.

특히 이번에 발견된 Rapid 변종 랜섬웨어는 Rapid 랜섬웨어를 작업 스케쥴러(Task scheduler)에 등록하여 복수의 랜섬웨어를 실행한다.

이는 동시다발적인 랜섬웨어 실행과 그에 따른 빠른 속도의 암호화를 가능하게 하며,

한번 실행된 랜섬웨어는 단순히 랜섬웨어 프로세스를 종료하는 방법으론,

이를 종료 & 제어할 수 없도록 한다.

또한 이번 Rapid 변종 랜섬웨어는 VMProtect Packer를 사용하여 신속한 분석을 통해 대응할 수 없도록 개발되었으며,

이는 Anti-Virus 및 EDR 제품을 비롯한 보안 프로그램에서 분석 및 탐지를 어렵게 하기 위함이다.

소만사는 본 보고서를 통해 Rapid 변종 랜섬웨어를 분석하여,

그 행위와 대응 방안을 제공하며 사전에 예방 및 차단할 수 있도록 본 보고서에 상세한 내용을 담았다.