Peršokti į turinį
  • Aktyvi
  • Sunkumas: Vidutinis
  • Programos vagys
  • Windows
  • Patikrinta · Spa 2017

Bad Rabbit virusasKaip pašalinti?

Žingsninė šalinimo instrukcija paveiktiems įrenginiams. Sekite patikrintą procedūrą žemiau — dauguma skaitytojų ją atlieka greičiau nei per 10 minučių.

Olivia Morelli · Kenkėjiškų programų analitikė

Išpirkos reikalaujantis virusas Bad Rabbit sudrebino pasaulį

Bad Rabbit viruso svetainė

Bad Rabbit yra failus koduojantis virusas, kuris jau spėjo sudrebinti visą pasaulį. Žymusis Petya virusas ir naujoji kenkėjiška programa turi panašių savybių, todėl manoma, jog juos galėjo sukurti tie patys nusikaltėliai. Tačiau atlikus išsamesnę analizę, paaiškėjo, jog kenkėjiškų programų kodai skiriasi.

Vartotojai gali įdiegti Bad Rabbit virusą į savo kompiuterių sistemas parsisiuntus bei įdiegus apgaulingą Adobe Flash Player atnaujinimą. Ši ataka remiasi vartotojų neatidumu — sukčių užkrėsti puslapiai automatiškai siūlo įdiegti atnaujinimą ir naudojasi patikliais žmonėmis.

Sutikus įdiegti, vartotojas peradresuojamas į nusikaltėlių valdomą domeną ir parsiunčiamas install_flash_player.exe vykdomasis failas. Atvėrus jį, kompiuteryje esantys duomenys yra užkoduojami.

Galiausiai, pakeisdamas pagrindinį sistemos paleidimo įrašą (angl. Master Boot Record), virusas baigia savo darbą ir perkrauna kompiuterį. Juodame ekrane vartotojui pateikiama žinutė, informuojanti apie užkoduotus failus. Norint gauti failų atkodavimo instrukcijas, nusikaltėliai siūlo apsilankyti specialiuose .onion puslapiuose.

Privati Onion svetainė suteikia 40 valandų laikotarpį pervesti 0.05 bitkoinų vertės(internetinės valiutos) išpirką į nurodytą sąskaitą. Šiuo metu ši pinigų suma siekia net 280 dolerių.

Analitikai teigia, jog jau yra užfiksuota daugiau nei 200 aukų, tarp kurių didžiausią dalį užima rusai ir ukrainiečiai. Virusas nusitaikė į Odesos tarptautinį oro uostą ir kelis žiniasklaidos koncernus — Interfax ir Fontanka. Ataka taip pat pasiekė ir kaimynines šalis – Turkiją bei Bulgariją.

Vartotojų neapdairumu pagrįsta ataka plito pasinaudojus apgaulingu Adobe Flash Player atnaujinimu

Sėkmingas Adobe produktas dar kartą atnešė pelną virusų kūrėjams. Vykdomasis kenkėjiškos programos failas prisidengia Adobe Flash Player naujinio išvaizda – nusikaltėliai skubiai užkrėtė daugybę populiarių interneto svetainių, į kurias įdiegė specialų JavaScript kodą. Vartotojui apsilankius užkrėstoje svetainėje, vartotojas sulaukia pasiūlymo parsisiųsti Adobe Flash Player naujinį (install_flash_player.exe). Vartotojui sutikus, kenksmingas pranešimas nukreips vartotoją į vieną iš nelegalių svetainių. Atvėrus šį apgaulingą naujinį, jūsų kompiuteris bus akimirksniu užkrėstas. Būkite atidūs, nes Bad Rabbit virusas gali plisti prisidengdamas ir kitais failų pavadinimais.

Didžioji dalis antivirusinių programų jau gali atpažinti virusą platinančius failus, todėl nedelsiant atnaujinkite kompiuterio apsaugos programą.

Bad Rabbit pasinaudoja serverio pranešimų bloke (angl. Server Message Block) esančiomis spragomis ir tokių būdu patenka į kompiuterio sistemą. Vėliau sukuriamas C:\Windows\infpub.dat failas, kuris patalpina tolimesnius dokumentus — C:\Windows\cscc.dat ir C:\Windows\dispci.exe. Jų pagalba virusas geba pakeisti sistemos paleidimo įrašo nustatymus.

Įdomiausia tai, kad kenkėjiška programa prideda nuorodas su populiaraus Sostų Karų serialo personažų vardais:

1. C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat,#1 15
2. cmd.exe /c schtasks /Delete /F /TN rhaegal
3. cmd.exe /c schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR
4. cmd.exe /c schtasks /Create /SC once /TN drogon /RU SYSTEM /TR:00
5. C:\Windows\AF93.tmp”

Nustatyta, jog Bad Rabbit naudojasi DiskCryptor programos kodavimo paslaugomis, kurios prieinamos visiems, tačiau vėliau užkoduoja failus pasitelkdamas AES ir RSA-2048 algoritmus. Nors dėl panašumų virusas yra siejamas su Petya virusu, pastarasis neįterpia failų plėtinių, o sutrukdo pagrindinės sistemos įkrovos disko veiklą.

Perkrovus sistemą, pateikiamas identiškas išpirkos raštelis, kaip ir NotPetya viruso versijoje. Vėliau, aukos nukreipiamos į privatų apmokėjimo puslapį, kuriame galima rasti viruso padarytos žalos aprašymą bei reikalavimą sumokėti 0,05 bitkoinų išpirką.

Po sėkmingos viruso infiltracijos virusas pamėgina plisti toliau – jis pasinaudoja Mimikatz programa, kuria siekia išgauti tame pačiame tinkle veikiančių kompiuterių techninę informaciją. Tuomet virusas pasinaudoja užkoduotų prisijungimų sąrašu ir mėgina prisijungti prie kitų tinkle esančių kompiuterių.

Bad Rabbit virusas

Naudingi patarimai, siekiant apsisaugoti nuo Bad Rabbit kriptografinės programos

  • Iš pradžių vertėtų atkreipti dėmesį jog virusas plinta apgaulingo Adobe Flash Player naujinio pavidalu. Savaime aišku, jokiu būdu nebandykite parsisiųsti tokių naujinių iš nepatikimų svetainių.
  • Įsitikinkite, jog jūsų antivirusinės aplikacijos yra taip pat atnaujintos, o jei tokių neturite — nedelsiant įsigykite.
  • Siūlome apsvarstyti FortectIntego ir SpyHunterCombo Cleaner apsaugos programas, kurios padės sėkmingai pašalinti Bad Rabbit kenkėjišką programą ir apsaugos jūsų kompiuterį ateityje.

Bad Rabbit pašalinimo instrukcijos

Jei jūsų kompiuterį užkrėtė Bad Rabbit virusas, nedelsiant jį pašalinkite. Siūlome naudoti ekspertų parengtas instrukcijas, kurias rasite straipsnio pabaigoje.

Virusas modifikuoja pagrindinės sistemos įkrovos disko nustatymus, todėl greičiausiai negalėsite perkrauti savo kompiuterio į saugų rėžimą (angl. Safe Mode). Mūsų instrukcijos padės jums grąžinti pradinius nustatymus, tuomet galėsite perkrauti kompiuterį ir aktyvuoti antivirusinę programą.

Ji pašalins Bad Rabbit virusą ir jūs galėsite grąžinti sistemos įprastą rėžimą. Dar kartą pakartokite procedūrą ir įsitikinkite, jog kenkėjiškos programos failai yra pašalinti.
Norime jus įspėti, jog pašalinus infekciją, jūs negalėsite atgauti užkoduotų duomenų, tačiau galėsite sėkmingai atkurti didžiąją dalį failų iš atsarginių kopijų (žinoma, jei pasirūpinote jomis anksčiau).

Windows 7 vartotojams:

1. Įdėkite Windows 7 DVD diską;
2. Paleiskite programą;
3. Pasirinkite norimus kalbos ir klaviatūros nustatymus;
4. Išsirinkite savo operacinę sistemą ir pasirinkite failų atstatymo funkciją;
5. Atsiradus sistemos atkūrimo pasirinkimo langui (angl. System Recovery Option screen) rinkitės „Command Prompt” funkciją;
6. Suveskite komandas, po kiekvienos paspaudžiant “enter”: bootrec/rebuildbcd, bootrec/fixmbr, andbootrec/fixboot;
7. Išimkite DVD diską ir perkraukite kompiuterį.

Windows 8/10 vartotojams:

1. Naudokite įdiegimo DVD diską ar USB raktą;
2. Pasirinkite „Repair your computer” funkciją;
3. Užžymėkite „Troubleshoot” ir „Command Prompt” funkcijas;
4. Surinkite nurodytas komandas ir paspauskite „enter” po kiekvienos: bootrec /FixMbr, bootrec /FixBoot, bootrec /ScanOs, and bootrec /RebuildBcd;
5. Pašalinkite DVD ar USB raktą;
6. Suveskite „exit” ir paspauskite „enter”;
7. Perkraukite kompiuterį.

Būkite pirmas pakomentavęs

Virusai
Privatumo nustatymai

Naudojame slapukus, kad pagerintume jūsų naršymo patirtį ir analizuotume srautą. Kai kurie slapukai leidžia rodyti įterptą turinį, pvz., vaizdo įrašus ir socialinių tinklų įrašus. Pasirinkite, ką leisite — tai galite pakeisti bet kada.