Sudėtingumo skalė:  
  (99/100)

Bad Rabbit virusas. Kaip pašalinti? (Pašalinimo instrukcijos)

parašė Olivija Moreli - - | Tipas: Ransomware
12

Išpirkos reikalaujantis virusas Bad Rabbit sudrebino pasaulį

Bad Rabbit viruso svetainė

Bad Rabbit yra failus koduojantis virusas, kuris jau spėjo sudrebinti visą pasaulį. Žymusis Petya virusas ir naujoji kenkėjiška programa turi panašių savybių, todėl manoma, jog juos galėjo sukurti tie patys nusikaltėliai. Tačiau atlikus išsamesnę analizę, paaiškėjo, jog kenkėjiškų programų kodai skiriasi.

Vartotojai gali įdiegti Bad Rabbit virusą į savo kompiuterių sistemas parsisiuntus bei įdiegus apgaulingą Adobe Flash Player atnaujinimą. Ši ataka remiasi vartotojų neatidumu — sukčių užkrėsti puslapiai automatiškai siūlo įdiegti atnaujinimą ir naudojasi patikliais žmonėmis.

Sutikus įdiegti, vartotojas peradresuojamas į nusikaltėlių valdomą domeną ir parsiunčiamas install_flash_player.exe vykdomasis failas. Atvėrus jį, kompiuteryje esantys duomenys yra užkoduojami.

Galiausiai, pakeisdamas pagrindinį sistemos paleidimo įrašą (angl. Master Boot Record), virusas baigia savo darbą ir perkrauna kompiuterį. Juodame ekrane vartotojui pateikiama žinutė, informuojanti apie užkoduotus failus. Norint gauti failų atkodavimo instrukcijas, nusikaltėliai siūlo apsilankyti specialiuose .onion puslapiuose.

Privati Onion svetainė suteikia 40 valandų laikotarpį pervesti 0.05 bitkoinų vertės(internetinės valiutos) išpirką į nurodytą sąskaitą. Šiuo metu ši pinigų suma siekia net 280 dolerių.

Analitikai teigia, jog jau yra užfiksuota daugiau nei 200 aukų, tarp kurių didžiausią dalį užima rusai ir ukrainiečiai. Virusas nusitaikė į Odesos tarptautinį oro uostą ir kelis žiniasklaidos koncernus — Interfax ir Fontanka. Ataka taip pat pasiekė ir kaimynines šalis – Turkiją bei Bulgariją.

Vartotojų neapdairumu pagrįsta ataka plito pasinaudojus apgaulingu Adobe Flash Player atnaujinimu

Sėkmingas Adobe produktas dar kartą atnešė pelną virusų kūrėjams. Vykdomasis kenkėjiškos programos failas prisidengia Adobe Flash Player naujinio išvaizda – nusikaltėliai skubiai užkrėtė daugybę populiarių interneto svetainių, į kurias įdiegė specialų JavaScript kodą. Vartotojui apsilankius užkrėstoje svetainėje, vartotojas sulaukia pasiūlymo parsisiųsti Adobe Flash Player naujinį (install_flash_player.exe). Vartotojui sutikus, kenksmingas pranešimas nukreips vartotoją į vieną iš nelegalių svetainių. Atvėrus šį apgaulingą naujinį, jūsų kompiuteris bus akimirksniu užkrėstas. Būkite atidūs, nes Bad Rabbit virusas gali plisti prisidengdamas ir kitais failų pavadinimais.

Didžioji dalis antivirusinių programų jau gali atpažinti virusą platinančius failus, todėl nedelsiant atnaujinkite kompiuterio apsaugos programą.

Bad Rabbit pasinaudoja serverio pranešimų bloke (angl. Server Message Block) esančiomis spragomis ir tokių būdu patenka į kompiuterio sistemą. Vėliau sukuriamas C:\Windows\infpub.dat failas, kuris patalpina tolimesnius dokumentus — C:\Windows\cscc.dat ir C:\Windows\dispci.exe. Jų pagalba virusas geba pakeisti sistemos paleidimo įrašo nustatymus.

Įdomiausia tai, kad kenkėjiška programa prideda nuorodas su populiaraus Sostų Karų serialo personažų vardais:

1. C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat,#1 15
2. cmd.exe /c schtasks /Delete /F /TN rhaegal
3. cmd.exe /c schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR
4. cmd.exe /c schtasks /Create /SC once /TN drogon /RU SYSTEM /TR:00
5. C:\Windows\AF93.tmp”

Nustatyta, jog Bad Rabbit naudojasi DiskCryptor programos kodavimo paslaugomis, kurios prieinamos visiems, tačiau vėliau užkoduoja failus pasitelkdamas AES ir RSA-2048 algoritmus. Nors dėl panašumų virusas yra siejamas su Petya virusu, pastarasis neįterpia failų plėtinių, o sutrukdo pagrindinės sistemos įkrovos disko veiklą.

Perkrovus sistemą, pateikiamas identiškas išpirkos raštelis, kaip ir NotPetya viruso versijoje. Vėliau, aukos nukreipiamos į privatų apmokėjimo puslapį, kuriame galima rasti viruso padarytos žalos aprašymą bei reikalavimą sumokėti 0,05 bitkoinų išpirką.

Po sėkmingos viruso infiltracijos virusas pamėgina plisti toliau – jis pasinaudoja Mimikatz programa, kuria siekia išgauti tame pačiame tinkle veikiančių kompiuterių techninę informaciją. Tuomet virusas pasinaudoja užkoduotų prisijungimų sąrašu ir mėgina prisijungti prie kitų tinkle esančių kompiuterių.

Naudingi patarimai, siekiant apsisaugoti nuo Bad Rabbit kriptografinės programos

  • Iš pradžių vertėtų atkreipti dėmesį jog virusas plinta apgaulingo Adobe Flash Player naujinio pavidalu. Savaime aišku, jokiu būdu nebandykite parsisiųsti tokių naujinių iš nepatikimų svetainių.
  • Įsitikinkite, jog jūsų antivirusinės aplikacijos yra taip pat atnaujintos, o jei tokių neturite — nedelsiant įsigykite.
  • Siūlome apsvarstyti Reimage ir Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus apsaugos programas, kurios padės sėkmingai pašalinti Bad Rabbit kenkėjišką programą ir apsaugos jūsų kompiuterį ateityje.

Bad Rabbit pašalinimo instrukcijos

Jei jūsų kompiuterį užkrėtė Bad Rabbit virusas, nedelsiant jį pašalinkite. Siūlome naudoti ekspertų parengtas instrukcijas, kurias rasite straipsnio pabaigoje.

Virusas modifikuoja pagrindinės sistemos įkrovos disko nustatymus, todėl greičiausiai negalėsite perkrauti savo kompiuterio į saugų rėžimą (angl. Safe Mode). Mūsų instrukcijos padės jums grąžinti pradinius nustatymus, tuomet galėsite perkrauti kompiuterį ir aktyvuoti antivirusinę programą.

Ji pašalins Bad Rabbit virusą ir jūs galėsite grąžinti sistemos įprastą rėžimą. Dar kartą pakartokite procedūrą ir įsitikinkite, jog kenkėjiškos programos failai yra pašalinti.
Norime jus įspėti, jog pašalinus infekciją, jūs negalėsite atgauti užkoduotų duomenų, tačiau galėsite sėkmingai atkurti didžiąją dalį failų iš atsarginių kopijų (žinoma, jei pasirūpinote jomis anksčiau).

Windows 7 vartotojams:

1. Įdėkite Windows 7 DVD diską;
2. Paleiskite programą;
3. Pasirinkite norimus kalbos ir klaviatūros nustatymus;
4. Išsirinkite savo operacinę sistemą ir pasirinkite failų atstatymo funkciją;
5. Atsiradus sistemos atkūrimo pasirinkimo langui (angl. System Recovery Option screen) rinkitės „Command Prompt” funkciją;
6. Suveskite komandas, po kiekvienos paspaudžiant “enter”: bootrec/rebuildbcd, bootrec/fixmbr, andbootrec/fixboot;
7. Išimkite DVD diską ir perkraukite kompiuterį.

Windows 8/10 vartotojams:

1. Naudokite įdiegimo DVD diską ar USB raktą;
2. Pasirinkite „Repair your computer” funkciją;
3. Užžymėkite „Troubleshoot” ir „Command Prompt” funkcijas;
4. Surinkite nurodytas komandas ir paspauskite „enter” po kiekvienos: bootrec /FixMbr, bootrec /FixBoot, bootrec /ScanOs, and bootrec /RebuildBcd;
5. Pašalinkite DVD ar USB raktą;
6. Suveskite „exit” ir paspauskite „enter”;
7. Perkraukite kompiuterį.

Mes galime būti platintojai bet kurių produktų, kuriuos mes rekomenduojame šitoje svetainėje. Atsisiųsdami bet kurį produktą Bad Rabbit virusas šalinimui, jūs sutinkate su mūsų privatumo politika ir naudojimosi instrukcija.
nelauk!
Parsisiųsk
Reimage (pašalinimo programa) Laimės
garantija
Parsisiųsk
Reimage (pašalinimo programa) Laimės
garantija
Suderinama su Microsoft Windows Suderinama su OS X
Ką daryti, jei nepavyko pašalinti?
Jei jums nepavyko pašalinti viruso naudojant Reimage, užduokite klausimą mūsų IT specialistams ir išsamiai aprašykite situaciją.
Bad Rabbit virusas pašalinimui yra rekomenduojama Reimage antivirusinė programa. Nemokama programos versija leidžia patikrinti ar kompiuteris yra užkrėstas, ar ne. Viruso pašalinimui gali būti naudojama tik licencijuota Reimage versija.

Daugiau informacijos apie šią programą galite surasti Reimage apžvalgoje.

Daugiau informacijos apie šią programą galite surasti Reimage apžvalgoje.
Reimage spaudoje
Reimage spaudoje

Rankinis Bad Rabbit viruso pašalinimas:

Kaip ištrinti Bad Rabbit naudojant Safe Mode with Networking

Reimage tai įrankis galintis aptikti kenkėjiškas programas.
Turite nupirkti pilną versiją norėdami pašalinti infekcijas.
Daugiau informacijos apie Reimage.

  • Žingsnis 1: Perkraukite kompiuterį į Safe Mode with Networking režimą

    Windows 7 / Vista / XP
    1. Paspauskite Start Shutdown Restart OK.
    2. Kai kompiuteris įsijungs iš naujo, pradėkite spaudinėti F8. Tai darykite tol, kol pasirodys Advanced Boot Options langas.
    3. Iš sąrašo pasirinkite Safe Mode with Networking Pasirinkite 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Spustelėkite Power Windows mygtuką. Po to spauskite ir paspaudę laikykite Shift mygtuką, galiausiai pasirinkite Restart..
    2. Pasirinkite Troubleshoot Advanced options Startup Settings ir vėl spauskite Restart.
    3. Kai kompiuteris įsijungs iš naujo, lange Startup Settings pasirinkite Enable Safe Mode with Networking Pasirinkite 'Enable Safe Mode with Networking'
  • Žingsnis 2: Bad Rabbit šalinimas

    Prisijunkite prie užkrėstos paskyros ir paleiskite savo naršyklę. Atsisiųskite Reimage ar kitą patikimą antivirusinę programą. Atnaujinkite ją ir patikrinkite savo kompiuterį. Kai programa baigs sistemos tikrinimą, ištrinkite visus jos nurodytus pavojingus failus ir užbaikite Bad Rabbit pašalinimą.

Jeigu virusas blokuoja Safe Mode with Networking, išbandykite sekantį metodą.

Kaip ištrinti Bad Rabbit naudojant System Restore

Reimage tai įrankis galintis aptikti kenkėjiškas programas.
Turite nupirkti pilną versiją norėdami pašalinti infekcijas.
Daugiau informacijos apie Reimage.

Pasinaudokite šiuo metodu ir atgaukite prieigą prie kompiuterio. Tuomet sekite pirmame metode aprašytus žingsnius ir ištrinkite virusą iš sistemos.

  • Žingsnis 1: Perkraukite kompiuterį į Safe Mode with Command Prompt režimą

    Windows 7 / Vista / XP
    1. Paspauskite Start Shutdown Restart OK.
    2. Kai kompiuteris įsijungs iš naujo, pradėkite spaudinėti F8. Tai darykite tol, kol pasirodys Advanced Boot Options langas.
    3. Iš sąrašo pasirinkite Command Prompt Pasirinkite 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Spustelėkite Power Windows mygtuką. Po to spauskite ir paspaudę laikykite Shift mygtuką, galiausiai pasirinkite Restart..
    2. Pasirinkite Troubleshoot Advanced options Startup Settings ir vėl spauskite Restart.
    3. Kai kompiuteris įsijungs iš naujo, lange Startup Settings pasirinkite Enable Safe Mode with Command Prompt Pasirinkite 'Enable Safe Mode with Command Prompt'
  • Žingsnis 2: Atstatykite sistemos nustatymus ir failus
    1. Kai pasirodys Command Prompt langas, įveskite cd restore ir spustelėkite Enter. Įveskite 'cd restore' (be kabučių) ir spauskite 'Enter'
    2. Dabar įrašykite rstrui.exe ir vėl spustelėkite Enter.. Įveskite 'rstrui.exe' (be kabučių) ir spauskite 'Enter'
    3. Kai pasirodys naujas langas, spustelėkite Next ir pasirinkite sistemos atkūrimo tašką, kuris yra prieš Bad Rabbit pasirodymą jūsų kompiuteryje. Po to vėl paspauskite Next. Pasirodžius 'System Restore' langui, pasirinkite 'Next'. Pasirinkite sustemos atkūrimo tašką ir spustelėkite 'Next'
    4. Dabar spauskite Yes ir pradėkite sistemos atstatymą. Dabar spauskite 'Yes' ir pradėkite sistemos atstatymą.
    Sugrąžinę buvusius sistemos nustatymus, atsisiųskite Reimage ir nuskenuokite kompiuterį, tam kad įsitikintumėte, jog Bad Rabbit sėkmingai pašalintas.

Svarbu. Kaip atkurti duomenis?

Instrukcijos, pateiktos aukščiau, yra skirtos padėti jums ištrinti Bad Rabbit. Tam, jog atkurtumėte savo failus, rekomenduojame sekti virusai.lt ekspertų paruoštas instrukcijas.

Jei Bad Rabbit užšifravo jūsų asmeninius failus, galite pabandyti juos atkurti šiais būdais:

Pamėginkite atkurti dalį failų naudodami Data Recovery Pro

Nors Data Recovery Pro geba atkurti įvairiais būdais sugadintus failus, vis dėlto ji gali nepajėgti atkurti Bad Rabbit viruso paveiktų failų. Be jokių abejonių, jei neturite atsarginių failų kopijų – išbandykite šį duomenų atkūrimo variantą.

  • Parsisiųskite Data Recovery Pro (https://virusai.lt/download/data-recovery-pro-setup.exe);
  • Įdiekite Data Recovery sekdami diegimo vedlio nurodymus;
  • Atverkite programą bei paleiskite kompiuterio skenavimą tam, jog rastumėte failus, paveiktus Bad Rabbit viruso;
  • Atkurkite juos.

Išbandykite ShadowExplorer programą

Dar nežinoma, ar aprašytasis virusas sunaikina šešėlines duomenų kopijas. Todėl siūlome pabandyti atkurti failus su ShadowExplorer programos pagalba.

  • Parsisiųskite Shadow Explorer (http://shadowexplorer.com/);
  • Sekdami Shadow Explorer diegimo vedlio nurodymus, įrašykite šią programą į savo kompiuterį;
  • Paleiskite programą ir atverkite viršutiniame kairiajame kampe esantį išskleidžiamąjį meniu. Peržiūrėkite, kokių aplankų ten yra;
  • Dešiniuoju pelės klavišu paspauskite ant aplanko, kurį norite atkurti, ir spauskite “Export”. Taip pat galite nurodyti, kur norite jį išsaugoti.

Galiausiai, susimąstykite apie savo kompiuterio apsaugą ir tokių virusų kaip Bad Rabbit prevenciją. Kad apsisaugotumėte nuo ransomware kategorijai priskiriamų virusų, naudokite patikimas antivirusines, tokias kaip Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus arba Malwarebytes Anti Malware.

Apie autorių

Olivia Morelli
Olivia Morelli - Kenkėjiškų programų analitikė

Jeigu šios nemokamos instrukcijos jums padėjo ir jūs esate patenkintas/-a mūsų suteikta pagalba, prašome apsvarstyti galimybę mus paremti ir padėti mums išlaikyti šią paslaugą. Bus įvertinta net pati mažiausia auka.

Šaltinis: https://www.2-spyware.com/remove-bad-rabbit-ransomware-virus.html

Šalinimo instrukcijos kitomis kalbomis