Kontakty
hlavný

Nový oplotenie vírusu obete. Aký druh zlého králičieho vírusu a ako chrániť počítač. Odstránenie zlého králičieho vírusu

Tretieho rozsiahleho kiberatka za rok. Tentokrát vírus s novým menom Zlý králik. A staré návyky - šifrovanie dát a rozširujúce peniaze na odomknutie. A v oblasti porážky v rovnakom čase, Rusko, Ukrajina a niektoré ďalšie krajiny CIS.

Zlý králik je platný pre obvyklú schému: posielanie phishingového listu s vnoreným vírusom alebo referenciou. Najmä sa útočníci môžu zdať, že sú technickou podporou spoločnosti Microsoft a požiadajú o urýchlene otvoriť vnorený súbor alebo prejsť odkazom. Tam je ďalšia distribučná cesta - falošné okno Adobe Update Flash Player.. V obidvoch prípadoch, zlý králik tiež pôsobí, rovnako, nie tak dávno, on zašifruje údaje o obete a vyžaduje výkupné o 0,05 bitcone, čo je asi 280 dolárov vo výške 25. októbra 2017. Obete novej epidémie "Interfax", Fontanka St. Petersburg Edition, Kyjev Metro, Odessa Airport a Ministerstvo kultúry Ukrajiny. Existujú dôkazy o tom, že nový vírus sa snažil zaútočiť na niekoľko známych ruských bánk, ale tento záväzok zlyhal. Odborníci spájajú zlý králik s predchádzajúcimi významnými útokmi zaznamenanými v tomto roku. Dôkaz o tom je podobný šifrovaniu diskcoder.d, a to je rovnaké šifrovanie petya, len mierne upravené.

Ako sa chrániť pred zlým králikom?

Odborníci odporúčajú vlastníkom Počítače so systémom Windows Vytvorte súbor "Infub.dat" a umiestnite ho do priečinka Windows na disku "C". Výsledkom je, že cesta by mala vyzerať takto: c: windows infpub.dat. Môžete to urobiť s pomocou obyčajného poznámkového programu, ale s právami správcu. Na tento účel nájdeme odkaz na program "Poznámkový blok", kliknite pravým tlačidlom myši a vyberte položku "Spustiť názov administrátora".

Ďalej je potrebné uložiť tento súbor na C: Windows, to znamená, že v priečinku Windows na disku "C". Názov súboru: InfubAb.dat, s "DAT" Toto rozšírenie súboru. Nezabudnite nahradiť štandardné "txt" poznámkový blok na "DAT". Po uložení súboru otvorte priečinok Windows, vyhľadajte vytvorený súbor INFPUB.DAT, kliknite na ňu pravým tlačidlom myši a vyberte políčko "Vlastnosti", kde je potrebné skontrolovať začiarkavacie políčko "Čítať iba". Tak, aj keď chytíte zlý králik vírus, nebude schopný šifrovať vaše údaje.

Preventívne opatrenia

Nezabudnite sa chrániť pred akýmkoľvek vírusom, môžete jednoducho pozorovať určité pravidlá. To bude znieť trit, ale nikdy neotvára listy a ešte viac, takže ich prílohy, ak sa vám adresa zdá byť podozrivá. Písmená phishingu, to znamená, že sme maskovať iné služby, najčastejším spôsobom infekcie. Opatrne sledujte, čo ste otvorili. Ak sa v písmenom investovanom súbore nazýva "Dôležité dokumenty.Docx _______. Exe", potom by ste si nemali otvoriť tento súbor. Okrem toho musíte mať zálohy dôležité súbory. Napríklad rodinný archív s fotografiami alebo pracovnými dokumentmi môže byť duplikovaný externý disk alebo na cloud-ové úložisko. Nezabudnite, aké dôležité je použitie licencie verzia systému Windows A pravidelne nainštalujte aktualizácie. Bezpečnostné opravy vydáva Microsoft pravidelne a tí, ktorí ich založia, nemajú problémy s podobnými vírusmi.

Virus-šifrovanie zlé králik alebo diskcoder.d. Atkeppopvarované certifikáty a CPEDNIX Opokojujúci, blokovanie s CEST.

Zlý králik alebo "zlý králik" je ťažké zavolať Pioneer - predchádzal vírusom-šifrovače Petya a Wannacry.

Zlý králik - aký druh vírusu

Odborníci spoločnosti ESET Anti-Virus Company preskúmať systém šírenia nového vírusu a zistili, že zlý králik prenikol obetiam pod typu Adobe Flash aktualizácie pre prehliadač.

Antivírusová spoločnosť sa domnieva, že Encoder Win32 / DiskCoder.d, nazývaný Bad Rabbit, je modifikovanou verziou WIN32 / DOCKODER.C, lepšie známa ako PETYA / NEZAHRNUTIA, ktorá zasiahla IT organizácie vo viacerých krajinách v júni. Zlý králikový spojenie s Notpetyta určuje zhody v kóde.

Útok používa program MIMIKATZ, ktorý zachytáva prihlasovacie a heslá na infikovanom stroji. Aj v kóde sú už predpísané prihlasovacie údaje a heslá pre pokusy o získanie administratívneho prístupu.

V novom malware sú chyby šifrovania súborov opravené - kód používaný v víruse je určený na šifrovanie. logické disky, externé USB disky a CD / DVD obrázky, ako aj topánka systémové úseky disk. Takže odborníci na dešifrovanie budú musieť stráviť veľa času na odhalenie tajomstva zlého králičieho vírusu, hovoria odborníci.

Nový vírus, podľa odborníkov, pôsobí na kartách CT pre CXEME CHIFEME - nie je známe, kde je to neznáme, odkiaľ je to súbory, pacsshIFPops, že neustále vykúpenie v bitcoins.

Odomknutie jedného počítača bude stáť 0,05 bitcoin, čo je asi 283 dolárov v aktuálnom kurze. V prípade platby, podvodníci pošlú špeciálny kódový kľúč, ktorý vám umožní obnoviť normálnu prevádzku systému a nestrácajte všetko.

Ak užívateľ neprekladá finančné prostriedky do 48 hodín, veľkosť spätného odkúpenia bude rásť.

Treba však zapamätať si, že platba spoločnosti Ransom je pasca, ktorá nezaručuje odomknutý počítač.

ESET poznámky, ktoré v súčasnosti chýba žiadna škodlivá komunikácia so vzdialeným serverom.

Vírus má najviac zasiahnutý ruskými užívateľmi, v menšej miere - spoločnosť v Nemecku, Turecku a Ukrajine. Distribúcia nastala prostredníctvom infikovaných médií. Slávne infikované stránky sú už zablokované.

ESET sa domnieva, že štatistiky útokov do značnej miery zodpovedá geografickej distribúcii lokalít obsahujúcich škodlivý javascript.

Ako obhajovať

Špecialisti Group-IB, ktorý sa zaoberá prevenciou a vyšetrením počítačovej kriminality, poskytli odporúčania, ako chrániť pred zlým králičím vírusom.

Najmä na ochranu pred sieťovým škodcom, musíte vytvoriť C: Windows Infub.dat na vašom počítači av časti Administratívna časť nastavte pravé "len na čítanie".

Táto akcia bude blokovaná touto akciou a všetci prichádzajúce dokumenty žiadateľov nebudú šifrované, aj keď sú infikované. Potreba vytvoriť zálohovanie Všetky cenné údaje tak, že v prípade infekcie ich nestratia.

Špecialisti Group-IB vám tiež radia zablokovať adresy IP a doménové menáS akou došlo k šíreniu škodlivých súborov, dajte používateľom blokovaním pop-up okna.

Odporúča sa tiež vyzvať počítače v systéme detekcie vniknutia. Používatelia PC tiež sledujú relevantnosť a integritu záložných kópií kľúčových sieťových uzlov a aktualizačných operačných systémov a bezpečnostných systémov.

"Pokiaľ ide o politiku hesiel: Nastavenia politiky skupiny zakazujú skladovanie hesla v LSA Dump v otvorenej forme. Zmena všetkých hesiel pre komplexné," pridané do spoločnosti.

Predchodcovia

Wannacry Vírus V máji 2017 sa šíri najmenej 150 krajín po celom svete. Zašifruje informácie a požaduje, aby zaplatili vykúpenie, podľa rôznych zdrojov, od 300 do 600 dolárov.

Z neho utrpel viac ako 200 tisíc používateľov. Podľa jednej z verzií, jeho tvorcovia vzali škodlivého ošetrovateľského programu Eternal Blue.

Globálny útok vírusu vírusu PETYA 27. júna zasiahol IT systémy spoločností v niekoľkých krajinách sveta, k väčšiemu stupňu Ukrajiny.

Útokom prešli počítače ropy, energie, telekomunikácií, farmaceutických spoločností, ako aj vládne agentúry. Cyberpolyting Ukrajiny uviedlo, že útok vírusu extrometra sa vyskytol prostredníctvom programu "M.D.Doc".

Materiál pripravený na základe otvorených zdrojov

Môže to byť predchodca tretej vlny vírusov šifrovateľov, veril v Kaspersky Lab. Prvé dve boli strávené Wannacry a Petya (He a Notpetya). O vzniku novej siete malware a ako chrániť pred jeho mocným útokom, "svet 24" povedal odborníci na kyberneticí.

V podstate obete útoku zlé králik ("chudobný králik") sa nachádzajú v Rusku. Na území Ukrajiny, Turecka a Nemecka sú výrazne menej, vedúci kasperského laboratória antivírusového výskumu Vyacheslav Zakorzhevsky. Pravdepodobne druhou činnosťou boli tie krajiny, v ktorých používatelia aktívne sledujú ruské internetové zdroje.

Kedy Škodlivý program Infikuje počítač, šifruje na ňom súbory. Týka sa pomocou webovej prevádzky s hacknutými internetovými zdrojmi, medzi ktorými boli hlavne stránky Federálneho ruského média, ako aj počítačov a serverov Metro Kyjev, Ukrajinské ministerstvo infraštruktúry, Odessa International Airport. Bol zaznamenaný neúspešný pokus o útok ruských bánk z top 20.

Že "Fontanka", Interfax a rad iných edícií zaútočili na zlé králik, povedal včera Group IB - špecializuje sa na informačná bezpečnosť. Analýza vírusového kódu ukázala Zlý králik je spojený s NOT PETYA ENRYPTER, ktorý v júnitento rok zaútočil na energiu, telekomunikačné a finančné spoločnosti na Ukrajine.

Útok sa pripravoval na niekoľko dní a napriek stupnici infekcie, výluče požadovali od obetí útokov relatívne malé množstvá - 0,05 bitcoin (to je asi 283 USD alebo 15 700 rubľov). Vykúpenie je uvedené 48 hodín. Po uplynutí tohto obdobia sa suma zvyšuje.

Odborníci skupiny-IB sa domnievajú, že s najväčšou pravdepodobnosťou hackeri nemajú zámer zarobiť. Ich pravdepodobným cieľom je skontrolovať úroveň ochrany kritickej infraštruktúry podnikov, vládnych oddelení a súkromných spoločností.

Stať sa obeťou útoku

Keď sa používateľ príde na infikované stránky, škodlivý kód prenáša informácie o tom vzdialený server. Ďalej sa zobrazí kontextové okno s ponukou na prevzatie aktualizácie pre Flash Player, ktorý je falošný. Ak používateľ schválil operáciu "Inštalovať / SET", do počítača sa načíta súbor, ktorý zakazuje v systéme snímača Win32 / FileCoder.d. Ďalší prístup k dokumentom bude zablokovaný, správa o vykúpení sa zobrazí na obrazovke.

Zlý králikový vírus prehľadá sieť pre otvorenie sieťové zdroje, po ktorom spustí nástroj na infikovanom stroji na zhromažďovanie poverení a toto "správanie" sa líši od svojich predchodcov.

Odborníci Medzinárodného vývojára ESET NOD 32 Anti-Virus softvér potvrdili, že zlý králik je novou modifikáciou petya vírusu, ktorého princíp bol rovnaký - vírus šifroval informácie a požadoval vykúpenie v bitcoinách (suma bola porovnateľná Bad Rabbit - 300 dolárov). Nový škodlivý program opravil chyby v šifrovaní súborov. Kód používaný v víruse je navrhnutý tak, aby šifroval logické disky, externé USB disky a CD / DVD obrázky, ako aj sekcie zavádzacieho systému.

Hovoriť o publiku, ktorý bol napadnutý zlý králik, ESET Rusko predajná podpora Vitaly Zemsky oznámil, že 65% útokov sa zastavilo antivírusové výrobky Spoločnosti prichádzajú do Ruska. Zvyšok geografie nového vírusu vyzerá takto:

Ukrajina - 12,2%

Bulharsko - 10,2%

Turecko - 6,4%

Japonsko - 3,8%

iné - 2,4%

"Extriorter používa slávny softvér z open source Nazvaný DiskCryptor na šifrovanie diskov obete. Blok blokovania správy, že užívateľ vidí, je takmer identický s obrazovkami PETYA a NOTPETYA LOCK. Toto je však jediná podobnosť, ktorú sme pozorovali tak ďaleko medzi dvoma malware. Vo všetkých ostatných aspektoch Badrabbit - úplne nový a jedinečný typ externatistov, "technický riaditeľ softvérových technológií kontrolného bodu verí Nikita Durov.

Ako sa chrániť pred zlým králikom?

Operačné systémy iné ako operačné systémy Windows môžu povzdať, pretože nový tvorca šifrovania vírusov robí iba počítače s touto "osou" zraniteľným.

Na ochranu pred sieťovým škodlivým softvérom Odborníci odporúčajú vytvárať C: Windows Infpub.dat na svojom vlastnom počítači, pri inštalácii pravého práva "len na čítanie" je ľahko vykonávať v sekcii Administration. Budete teda blokovať vykonanie súboru a všetky dokumenty prichádzajúce zvonku nebude šifrované, aj keď sú infikované. Aby ste nestratili cenné údaje v prípade vírusovej infekcie, už teraz urobte zálohu (zálohovanie). A samozrejme, stojí za to zapamätať si, že výplata je pasca, ktorá nezaručuje odomknutie počítača.

Pripomeňme, že vírus v máji v tomto roku rozšíril najmenej 150 krajín sveta. Zašifruje informácie a požaduje, aby zaplatili vykúpenie, podľa rôznych zdrojov, od 300 do 600 dolárov. Z neho utrpel viac ako 200 tisíc používateľov. Podľa jednej z verzií, jeho tvorcovia vzali škodlivého ošetrovateľského programu Eternal Blue.

ALLA SMIRNOVA bola komunikovaná s odborníkmi

Zlý králik je vírus spojený s šifrovaním vírusov-extromeders. Nedávno sa objavila a zamerala sa najmä na počítače používateľov Ruska a Ukrajiny, ako aj čiastočne Nemecka a Turecka.

Princíp prevádzky šifrovacích vírusov je vždy jeden: dostať sa k počítaču, škodlivý program šifruje systémové súbory a užívateľské dáta, blokovanie prístupu k počítaču podľa hesla. Všetko, čo sa zobrazí na obrazovke, je vírusové okno, požiadavky na útočisko a číslo účtu, ktoré vyžaduje, aby prevod peňazí na odomknutie. Po hromadnom rozmnožovaní sa kryptocrrencia stala populárnym požadovať vykúpenie v bitcoins, pretože operácie s nimi sú veľmi ťažké sledovať zo strany. Zlý králik tiež vstupuje. Využíva zraniteľnosť operačného systému, najmä v Adobe Flash Player a preniká do typu aktualizácie.

Po infekcii, Badrabbit vytvára priečinok Windows FILE INFPUB.DAT, ktorý vytvorí iné programové súbory: CSCC.DAT a DIPCI.exe, ktoré vykonajte zmeny v nastaveniach MBR disk. Používateľ a vytvoriť svoje úlohy, ako je plánovač úloh. Tento škodlivý program má osobnú stránku na zaplatenie za vykúpenie, používa službu šifrovania DISKCRYPTOR, šifruje pomocou metód RSA-2048 a AE, a tiež sleduje všetky pripojené zariadenia tento počítačsa snaží infikovať.

Podľa hodnotenia Symantec získal vírus status nízkej hrozby, ako aj podľa špecialistov, vytvorili rovnaké vývojári ako vírusy našiel pár mesiacov pred zlým králikom, Notpetyta a Petya, pretože má podobnú prácu algoritmy. Po prvýkrát sa v októbri 2017 objavil zlý králikový šifrovač a prvé obete internetových novín Fontanka, niekoľko médií a webových stránok správy Interfax Novinky. Beel LEEL tiež podliehala útoku, ale hrozba bola schopná zabrániť včas.

Poznámka: Našťastie je program na zistenie takýchto hrozieb už účinnejší ako predtým, a riziko infekcie s týmto vírusom sa znížil.

Odstránenie zlého králičieho vírusu

Looping nakladač

Rovnako ako vo väčšine prípadov tohto typu, môžete sa pokúsiť obnoviť systém Windows na elimináciu hrozby. V prípade systému Windows 10 a Windows 8 musíte pripojiť inštalačný distribučný systém na USB alebo DVD, a zavádzanie z nej, prejdite na možnosť "Korekcia počítača". Potom musíte prejsť na "Riešenie problémov" a vyberte položku " Príkazový riadok».

Teraz zostane zadávať príkazy jeden po druhom, po stlačení ENTER po zadaní ďalšieho príkazu:

  1. bOOTREC / FIXMBR
  2. bOOTREC / FIXBOOT
  3. bOOKREC / SCANOS.
  4. bOOTREC / REBUILDBCD.

Po vykonaných operáciách - výstup a reštartovanie. Najčastejšie je to dosť na vyriešenie problému.
Pre Windows 7 akcie, to isté, len tam "príkazový riadok" je v "možnostiach obnova systému»Na distribúcii inštalácie.

Eliminácia vírusu cez bezpečný režim

Ak chcete použiť túto metódu, musíte zadať bezpečnostný mód So sieťou. Je s podporou siete, a nie jednoduchý bezpečný režim. V systéme Windows 10 sa to dá urobiť znova prostredníctvom distribúcie inštalácie. Po stiahnutí z neho v okne s tlačidlom "SET" musíte stlačiť kombináciu klávesov SHIFT + F10 a zadajte:

bcdedit / Set (predvolená) Sieťová sieť

V systéme Windows 7 môžete jednoducho odosielať F8 niekoľkokrát počas zapnutia počítača av ponuke, ktoré sa zobrazí, vyberte tento režim prevzatia zo zoznamu.
Po zadaní bezpečného režimu je hlavným cieľom skenovať operačný systém Ohrozenia. Urobte to lepšie cez časovo testované nástroje, ako napríklad reimage alebo malwarebytes anti-malware.

Eliminácia hrozby s centrom pomoci

Na použitie táto metóda Opätovné použitie "príkazového riadku" je potrebné použiť ako z vyššie uvedeného pokynu a po spustení na vstup do obnovenia CD a potvrďte stlačením klávesu ENTER. Potom musíte zadať rstrui.exe. Otvorí sa okno programu, v ktorom sa môžete vrátiť k predchádzajúcemu bodu obnovenia predchádzajúcej infekcii.

Ahojte všetci! Doslova druhý deň v Rusku a Ukrajine, Turecko, Nemecko a Bulharsko začali rozsiahly hackerový útok novým zlým vírusom-šifrovaním zlého králika, má tiež diskcoder.d. Šifrovalo v súčasnosti útoky firemné siete Veľké a stredné organizácie blokujúce všetky siete. Dnes povieme, že tento Troyan predstavuje a ako chrániť pred ním.

Aký druh vírusu?

Zlý králik (zlý králik) pracuje podľa štandardnej schémy šifrovateľov: Nájdenie do systému, kóduje súbory na dekódovanie, z ktorých hackeri vyžadujú 0,05 bitcoin, ktorý kurz je $ 283 (alebo 15 700 rubľov). Toto je uvedené v samostatnom okne, kde skutočne potrebujete zadať zakúpený kľúč. Hrozba sa vzťahuje na Trojan Typ Trojan.win32.GenuricExistujú však aj iné komponenty, ako napr Nebezpečný. a Ransom .win 32.gen.ftl.

Bad Rabbit - Nový vírusový šifrovač

Plne sledovať všetky zdroje infekcie sú stále ťažké, ale odborníci to teraz robia. Pravdepodobne hrozba zasiahne PC prostredníctvom infikovaných stránok, na ktorých je nakonfigurovaný presmerovanie, alebo pod maskou falošných aktualizácií pre populárne pluginy, ako je Adobe Flash. Zoznam takýchto stránok sa len rozširuje.

Je možné odstrániť vírus a ako sa chrániť?

Ihneď stojí za to hovoriť, v súčasnosti všetky antivírusové laboratóriá začali analyzovať tento trójsky kôň. Ak ste špecificky hľadať informácie o odstránení vírusu, potom je ako taký, nie. Štandardné tipy okamžite vyhodíme - Urobíme systém zálohovania, návratový bod, odstráňte tieto súbory. Ak nemáte zachránil, potom všetko ostatné nefunguje, hackeri takéto momenty, kvôli špecifikácii vírusu, premýšľal.

Myslím si, že na skorú dobu, dekodéry vyrobené amatérmi budú distribuované pre zlé králik - udržať na týchto programoch alebo nie - vaše osobné podnikanie. Ako ukázal minulé šifrovanie PETYA, pomáha len málo ľudí.

Ale varovať hrozbu a odstrániť ho, keď sa pokúsite vyliezť do počítača. Prvá správa o vírusovej epidémii odpovedala na laboratóriá Kaspersky a ESET, ktoré už blokujú pokusy o penetráciu. Prehliadač Google Chrome tiež začal identifikovať infikované zdroje a varovať o ich nebezpečenstve. To je to, čo musíte urobiť, aby ste ochránili pred Badrabbitom najprv:

  1. Ak používate Kaspersky, ESET, DR.WEB alebo iné populárne analógy, potom musíte aktualizovať databázy. Tiež pre Kaspersky musíte zahrnúť "SYSTEM WORKER) a v ESET aplikujte podpisy s aktualizáciou 16295.

  2. Ak nepoužívate Antivirus, musíte zablokovať vykonanie súborov C: Windows Infub.dat a C: Windows CSCC.DAT. Je to hotové prostredníctvom editora skupinové pravidláalebo AppLocker Program pre Windows.

    3. Odporúča sa zakázať vykonanie služby - Správa Windows. Prístrojové vybavenie (WMI). V top desiatich službách sa volá "Nástroje správa Windows. Pomocou pravého tlačidla sa prihláste na servisné vlastnosti a vyberte "Typ spustenia" režim "Zakázané".

  3. Uistite sa, že váš systém zálohujte. V teórii by sa kópia mala vždy uložiť na pripojenom nosiči. Tu je malý video inštrukcie na vytvorenie.

    4. Záver

    Na konci stojí za to povedať najdôležitejšiu vec - nemali by ste zaplatiť výkupné, takže by ste mali šifrované. Takéto akcie budú podnecovať iba podvody na vytvorenie nových vírusových útokov. Sledujte fóra antivírusových spoločností, ktoré, dúfam, bude čoskoro študovať zlý králikový vírus a nájde efektívnu tabletu. Uistite sa, že ste vykonali vyššie uvedené položky na ochranu vášho OS. V prípade ťažkostí pri ich realizácii zapíšte do pripomienok.



Páči sa vám článok? Zdieľaj to
Odporúčané články na tému
Magnetometria v najjednoduchšej verzii Ferrozond sa skladá z feromagnetického jadra a dvoch cievok na ňomMagnetometria v najjednoduchšej verzii Ferrozond sa skladá z feromagnetického jadra a dvoch cievok na ňom
Efektívny hľadaný kurz práceEfektívny hľadaný kurz práce
Hlavné charakteristiky a parametre fotodiódyHlavné charakteristiky a parametre fotodiódy
Návštevníci teraz diskutujú
Ako upraviť PDF (päť aplikácií na zmenu súborov PDF) Ako odstrániť jednotlivé stránky z PDFAko upraviť PDF (päť aplikácií na zmenu súborov PDF) Ako odstrániť jednotlivé stránky z PDF Bezdrôtový
Prečo sa okno vystreleného programu dlho rozvíjalo?Prečo sa okno vystreleného programu dlho rozvíjalo? iPhone / iPad.
DXF2TXT - Export a preklad textu od AutoCADu na zobrazenie bodu DWG Traffic v txtDXF2TXT - Export a preklad textu od AutoCADu na zobrazenie bodu DWG Traffic v txt Problém
Čo robiť, ak kurzor myši zmizneČo robiť, ak kurzor myši zmizne Nastavenie