Bad Rabbit Virus - Hur Tar Man Bort?

 

Bad Rabbit ransomware virus är långt ifrån vänlig och den globala spridningen upptäcktes den 24:e oktober 2017. Situationen påminner starkt om WannaCry och NotPetya infektionerna. Bad Rabbit är inte helt och hållet ett ransomware-hot då det anses ha karaktärsdrag av den nya och förbättrade versionen av Petya. Som du kanske redan vet, NotPetya var fast besluten att vara en disk kodare eller en ”viper” med andra ord. Skadeprogrammet Bad Rabbit tar sig till operativsystemet som en ”install_flash_player.exe” fil. Den släpper också infpub.dat och rundll32.exe filer på C-disken.

De huvudsakliga symptomen av Bad Rabbit ransomware, referenser till Game of Thrones och AES fil-krypteirngen

Detta ransomaware har lyckats slingra sig in i datorer som tillhör användare från Östra Europa. Detta inkluderar återigen Ukraina, vissa regioner av Ryssland, Bulgarien, Polen, USA, Sydkorea och Turkiet. Organisationer och företag måste fokusera på IT-säkerhet för tillfället eftersom att den enorma attacken av Bad Rabbit viruset kan börja spridas ännu mer intensivt. Ukrainska ministeriet för infrastruktur, tunnelbanesystem och Odessa flygplats har blivit offer för den här infektionen. En del företag från Ryssland har också rapporterat en kritisk situation av deras tjänster tack vare skadeprogrammet Bad Rabbit (Ny ransomware attack träffar Ryssland och sprider sig globalt).


Bad Rabbit ransomware virus

Bad Rabbit hotet agerar inte bara som en disk kodare, utan den kan också kryptera filerna på ett offer:s enhet. Det tycks vara en AES-algoritm som valts för krypteringsprocessen av filerna. För att göra detta ännu mer komplicerat så har dekrypteringsnyckeln även krypterats en gång med RSA-2048 chiffern, vilket är en populär strategi av ransomware infektioner (Bad Rabbit Ransomware attackerar Ryssland och Ukraina).

Du kanske förvånas över att infektionen inte lägger till en originell filändelse på de skadade filerna, istället lägger det till den enkla markeringen ”encrypted” i slutet av varje skadad fil. En annan viktig aspekt av det här ransomware:t är att det kommer få möjligheten att ansluta till fjärrnätverksdelning. Detta betyder att infektionen kan spridas från en enhet till en annan. Man anar att utbrotten började från den rysska hemsidan argumentiru.com. Om du kommer ihåg gällande NotPetya så spreds infektionen från M.E.Doc servrar.

Man anar att krypteringsviruset Bad Rabbit genererades av besatta fans av Game of Thrones serien. Under teknisk information om ransomware:t fann forskare referenser till den populära TV-serien. Exempelvis döptes en trio av schemalagda uppgifter efter de kända drakarna Viserion, Rhaegal och Drogon.


Bad Rabbit ransomware

Bad Rabbit viruset levereras genom en metod som kallas för ”drive-by” nedladdning, eller mer specifikt en falsk Adobe Flash uppdatering. En del frekvent besökta domäner på internet har blivit kapade så att IT-kriminella kan injicera skadlig JavaScript i deras HTML-kropp eller i deras .JS fil (Bad Rabbit: Not-Petya är tillbaka med ett förbättrat ransomware). Av den anledningen kan en användare som besöker den äventyrade domänen erbjudas installation av en Flash Player uppdatering. Efter att besökaren godkänt uppdateringen kan en fil från Ldnscontrol.com visa sig vara en Win32/FileCoder.D istället.

Disk kodaren Bad Rabbit stjäl även sina offer:s information genom att försöka agera som ett spionprogram. Efter att det förberett allt som behövs tillsammans med ändringar i Master Boot Recorder (MBR), kommer de drabbade användarena nekas från att fullständigt starta upp. Användare kommer att presenteras med samma notering som presenterades under NotPetya attacken. Däremot är det diskutabelt om det är samma personer som ligger bakom skadeprogrammet Bad Rabbit. Då de absolut liknar varandra så finns det även olikheter, samt att endast 13% av NotPetja koderna har återanvändits.

Denna nyligen upptäckta mardrömmen Bad Rabbit kräver också att användare går in på en hemsida via TOR. Domänen Caforssztxqzf2nm.onion kommer att presenteras i ett textmeddelande, där skall offren tydligen skriva in sin personliga nyckel i angivet fält. Om nyckeln sedan känns igen kommer offret få mer detaljerade instruktioner om hur lösensumman skall skickas. 0.05 BTC tycks vara den begärda lösensumman, vilket motsvarar 274,87 USD. Däremot är detta inte den slutgiltiga summan – om offret inte betalar inom 40 timmar kommer summan öka. Oavsett uppmuntrar vi dig att INTE betala.

Distributionsmetoder som Bad Rabbit utnyttjar

VI har redan nämnt att infektionen sprids via falska Adobe Flash Player uppdateringar. Dessa presenteras via legitima hemsidor som har äventyrats av skadlig JavaScript. Om en slumpmässig domän uppmuntrar dig att installera en uppdatering, vänligen neka då detta förslag då du kan råka bli ett offer för den hemska infektionen Bad Rabbit ransomware. Det är även möjligt att viruset börjar spridas från en enhet till en annan.

Är det möjligt att återfå sina filer som Bad Rabbit skadat?

Det är för tidigt för att tala om eventuella dekrypteringar av skadad data. Först och främst måste säkerhetsforskare genomföra en analys och se om det finns eventuella möjligheter. Vi rekommenderar att du backar upp dina filer som du skulle ångra om du förlorar. Om du har dina filer lagrade på flera platser kommer ett ransomware aldrig vara ett problem.

Gällande borttagningen behöver användare vara försiktiga. Även om bovarnas server inte längre är igång, så kan infektionen fortfarande starta en omgång till. Kom ihåg att du måste ha ett pålitligt anti-skadeprogram för att hålla dig själv säker. Detta inkluderar program som t.ex. Reimage.

Ett vaccin har upptäckts!

Amit Serper har gått ut med att ett vaccin för detta terroriserande IT-virus. Följ dessa steg för att säkra dig från Bad Rabbit ransomware:

  1. Skapa infpub.dat och cscc.dat filer i C:\Windows.
  2. Ta sedan bort alla behörigheter.
  3. Du bör nu vara säkrad från infektionen.

Uppdatering 27:e oktober: Under denna dag har säkerhetsforskare övertygats om att Bad Rabbit infektionen använde en modifierad version av NSA Exploit för att snabba på sin distribution. Tack vare skillnader från exploit originalet kunde säkerhetsforskare inte upptäcka det i början.

Uppdatering 30:e oktober: Forskare från Kaspersky gjorde en fantastisk upptäckt: misstag i verksamheten av Bad Rabbit ransomware ransomware (Bedömning av dekrypteringsmöjligheter). Tack vare detta kan en del offer möjligen dekryptera deras data. En av de chockerande slarviga misstagen är det faktum att Bad Rabbit viruset inte startar ett kommando som raderar alla Shadow Volume kopior. Detta är relativt oväntat då även mer enkla varianter som t.ex. HiddenTear kan utföra borttagningen. Däremot är det fantastiska nyheter för användare, nu kan de förhoppningsvis ändå återfå en del av deras krypterade digitala data.

Dessutom har forskare på Kaspersky upptäckt ett misstag i kodningen av dispci.exe: ransomware:t gör sig inte av med genererade lösenord från minnet. Däremot diskuterar säkerhetsforskare om detta faktiskt fungerar för nuvaranda offer av Bad Rabbit viruset.

Hur du tar bort Bad Rabbit virus genom systemåterställning:

Starta om din dator i Felsäkert Läge med Kommandotolken


För Windows 7/ Vista/ XP
  • Start -> Stäng av -> Starta om -> OK.
  • Tryck på F8 upprepade gånger tills uppstartsalternativen visas.
  • Välj Felsäkert Läge med Kommandotolken. Windows 7 enter safe mode

För Windows 8/ 10
  • Tryck på Av/ På ikonen vid Windows inloggningssida. Tryck och håll sedan ned Shift knappen medans du klickar på Starta om. Windows 8-10 restart to safe mode
  • Välj Felsök -> Avancerade alternativ -> Startinställningar -> Starta om.
  • När det laddas upp, välj Aktivera Felsäkert Läge med Kommandotolken från listan med uppstartsalternativen.Windows 8-10 enter safe mode

Återställ systemfiler och inställningar.
  • När Kommandotolken laddar, skriv in CD Restore och tryck Enter.
  • Skriv sedan in Rstrui.exe och tryck Enter igen. CMD commands
  • Klicka på "nästa" i fönstret som visas. Restore point img1
  • Välj en av Återställningarna som finns tillgängliga innan Bad Rabbit virus infiltrerade datorn och klicka sedan på "nästa". Restore point img2
  • För att starta systemåtersällning, klicka "Ja". Restore point img3

2. Total borttagning av Bad Rabbit virus

Efter återställningen av din dator så rekommenderas det att genomsöka datorn med ett anti-skadeprogram som t.ex. Reimage, Spyhunter och ta bort alla skadliga filer som relaterar till Bad Rabbit virus.


3. Återställ Bad Rabbit virus påverkade filer med hjälp av Shadow Volume kopior

Om du inte använder dig av Systemåterställning med ditt operativsystem så finns det en chans att använda sig av så kallade Shadow Copy Snapshots. De lagrar kopior av dina filer till den tid då dessa skapades. Oftast försöker Bad Rabbit virus radera alla möjliga Shadow Volume kopior, så den här metoden fungerar inte på alla datorer. Dock kan skadan misslyckas.

Shadow Volume kopior finns endast tillgängliga på Windows XP Service Pack 2, Windows Vista, Windows 7 och Windows 8. Det finns två sätt att återfå dina filer via Shadow Volume kopior på. Du kan använda Windows egna tidigare versioner, eller Shadow Explorer.

a) Windows egna tidigare versioner

Högerklicka på en krypterad fil och välj Egenskaper ->Tidigare versioner. Nu ser du alla möjliga kopior av den specifika filen och tiden då den lagrades i en Shadow Volume kopia. Välj en version av filen du vill återfå och klicka på Kopiera om du vill spara den till en egen vald plats, eller så återställer du ifall du vill byta ut den nuvarande krypterade filen. Om du vill se innehållet av filen klickar du bara på "öppna".
Previous version

b) Shadow Explorer

Det är ett program som kan hittas på Internet gratis. Du kan ladda ned antingen en full eller en portabel version av Shadow Explorer. Öppna programmet. Vid vänsta hörnet högst upp väljer du enhet som filen du letar efter är lagrad. Du kommer att kunna se alla mappar på den enheten. För att återfå en hel mapp så högerklickar du på den och väljer "exportera". Välj sedan vart du vill ha den lagrad. Shadow explorer

OBS: I många fall så är det omöjligt att återställa datafiler som har påverkats av ett modernt Ransomware. Av den anledningen rekommenderar vi ett vettigt Moln-program för att ha en backup ifall att. Vi rekommenderar att du tar en titt på Carbonite, BackBlaze, CrashPlan eller Mozy Home.

Manuell borttagning av Bad Rabbit virus

 
Filer:
Extensions:
     
 

Om författaren

 
november 20, 2017 12:21, november 20, 2017 12:21
 
   
 

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *