กระต่ายไวรัสคอมพิวเตอร์ตัวใหม่ แบดแรบบิทกระโดดขึ้น ความสามารถในการกู้คืนไฟล์

ไวรัสแรนซัมแวร์ที่รู้จักกันในชื่อ Bad Rabbit ได้โจมตีคอมพิวเตอร์หลายหมื่นเครื่องในยูเครน ตุรกี และเยอรมนี แต่การโจมตีส่วนใหญ่เกิดขึ้นในรัสเซีย นี่คือไวรัสประเภทใดและจะป้องกันคอมพิวเตอร์ของคุณได้อย่างไร เราจะแจ้งให้คุณทราบในส่วนคำถามและคำตอบของเรา

ใครบ้างที่เป็นโรค Bad Rabbit ในรัสเซีย?

ไวรัสเรียกค่าไถ่ Bad Rabbit เริ่มแพร่กระจายเมื่อวันที่ 24 ตุลาคม ในบรรดาเหยื่อของการกระทำของเขา ได้แก่ สำนักข่าว Interfax และสิ่งพิมพ์ Fontanka.ru

รถไฟใต้ดินเคียฟและสนามบินโอเดสซาก็ได้รับผลกระทบจากการกระทำของแฮกเกอร์เช่นกัน จากนั้นก็เป็นที่ทราบกันดีถึงความพยายามที่จะแฮ็กระบบของธนาคารรัสเซียหลายแห่งจาก 20 อันดับแรก

จากข้อบ่งชี้ทั้งหมด นี่คือการโจมตีแบบกำหนดเป้าหมาย เครือข่ายองค์กรเนื่องจากมีการใช้วิธีการที่คล้ายกับที่พบในการโจมตีของไวรัส ExPetr

ไวรัสตัวใหม่เรียกร้องสิ่งหนึ่งจากทุกคน: ค่าไถ่ 0.05 Bitcoin ในแง่ของรูเบิลนี่คือประมาณ 16,000 รูเบิล อย่างไรก็ตาม เขารายงานว่าเวลาในการปฏิบัติตามข้อกำหนดนี้มีจำกัด ให้เวลามากกว่า 40 ชั่วโมงเล็กน้อยสำหรับทุกสิ่ง นอกจากนี้ค่าธรรมเนียมการไถ่ถอนจะเพิ่มขึ้น

ไวรัสนี้คืออะไรและทำงานอย่างไร?

คุณรู้แล้วหรือยังว่าใครอยู่เบื้องหลังการแพร่กระจายของมัน?

ยังไม่สามารถระบุได้ว่าใครอยู่เบื้องหลังการโจมตีครั้งนี้ การสอบสวนนำเฉพาะโปรแกรมเมอร์ไปยังชื่อโดเมนเท่านั้น

ผู้เชี่ยวชาญจากบริษัทแอนตี้ไวรัสสังเกตความคล้ายคลึงกันของไวรัสตัวใหม่กับไวรัส Petya

แต่ปีนี้ไม่เหมือนกับไวรัสรุ่นก่อนๆ คราวนี้แฮกเกอร์ตัดสินใจใช้เส้นทางง่ายๆ รายงาน 1tv.ru

“เห็นได้ชัดว่าอาชญากรคาดหวังว่าในบริษัทส่วนใหญ่ ผู้ใช้จะอัปเดตคอมพิวเตอร์ของตนหลังจากการโจมตีสองครั้งนี้ และตัดสินใจลองใช้วิธีการรักษาที่ค่อนข้างถูก - วิศวกรรมสังคมเพื่อที่จะแพร่เชื้อไปยังผู้ใช้โดยไม่มีใครสังเกตเห็นในตอนแรก” Vyacheslav Zakorzhevsky หัวหน้าแผนกวิจัยการป้องกันไวรัสของ Kaspersky Lab กล่าว

จะป้องกันคอมพิวเตอร์ของคุณจากไวรัสได้อย่างไร?

อย่าลืมทำ สำเนาสำรองระบบของคุณ หากคุณใช้ Kaspersky, ESET, Dr.Web หรือแอนะล็อกยอดนิยมอื่นๆ ในการป้องกัน คุณควรอัปเดตฐานข้อมูลทันที นอกจากนี้ สำหรับ Kaspersky คุณต้องเปิดใช้งาน "การตรวจสอบกิจกรรม" (System Watcher) และใน ESET คุณต้องใช้ลายเซ็นพร้อมอัปเดต 16295 แจ้ง talkdevice

หากคุณไม่มีโปรแกรมป้องกันไวรัส ให้บล็อกการทำงานของไฟล์ C:\Windows\infpub.dat และ C:\Windows\cscc.dat นี้จะกระทำผ่านทางบรรณาธิการ นโยบายกลุ่มหรือ AppLocker สำหรับ Windows

หยุดบริการไม่ให้ทำงาน - Windows Management Instrumentation (WMI) ใช้ปุ่มขวาป้อนคุณสมบัติบริการและเลือกโหมด "ปิดการใช้งาน" ใน "ประเภทการเริ่มต้น"

ไวรัส Ransomware Bad Rabbit หรือ Diskcoder.D โจมตีเครือข่ายองค์กรขององค์กรขนาดใหญ่และขนาดกลาง ปิดกั้นทุกเครือข่าย

Bad Rabbit หรือ “bad rabbit” แทบจะเรียกได้ว่าเป็นผู้บุกเบิก โดยนำหน้าด้วยไวรัสเข้ารหัส Petya และ WannaCry

Bad Rabbit - ไวรัสชนิดไหน

ผู้เชี่ยวชาญจากบริษัทป้องกันไวรัส ESET ได้ตรวจสอบการแพร่กระจายของไวรัสตัวใหม่และพบว่า Bad Rabbit เจาะคอมพิวเตอร์ของเหยื่อโดยปลอมเป็นการอัปเดต อะโดบี แฟลชสำหรับเบราว์เซอร์

บริษัทแอนตี้ไวรัสเชื่อว่าตัวเข้ารหัส Win32/Diskcoder.D ที่เรียกว่า Bad Rabbit นั้นคือตัวเข้ารหัสดังกล่าว เวอร์ชันที่แก้ไขแล้ว Win32/Diskcoder.C หรือที่รู้จักกันดีในชื่อ Petya/NotPetya ซึ่งโจมตีระบบไอทีขององค์กรต่างๆ ในหลายประเทศในเดือนมิถุนายน การเชื่อมต่อระหว่าง Bad Rabbit และ NotPetya ระบุด้วยการจับคู่ในโค้ด

การโจมตีใช้โปรแกรม Mimikatz ซึ่งสกัดกั้นการเข้าสู่ระบบและรหัสผ่านบนเครื่องที่ติดไวรัส นอกจากนี้ในรหัสยังมีการเข้าสู่ระบบและรหัสผ่านที่ลงทะเบียนไว้แล้วสำหรับความพยายามในการเข้าถึงระดับผู้ดูแลระบบ

มัลแวร์ตัวใหม่แก้ไขข้อผิดพลาดในการเข้ารหัสไฟล์ - รหัสที่ใช้ในไวรัสมีไว้สำหรับการเข้ารหัส ไดรฟ์แบบลอจิคัล, ไดรฟ์ USB ภายนอกและอิมเมจซีดี/ดีวีดี รวมถึงพาร์ติชันดิสก์ระบบที่สามารถบู๊ตได้ ดังนั้นผู้เชี่ยวชาญด้านการถอดรหัสจะต้องใช้เวลามากในการเปิดเผยความลับของไวรัส Bad Rabbit ผู้เชี่ยวชาญกล่าว

ตามที่ผู้เชี่ยวชาญระบุ ไวรัสตัวใหม่นี้ทำงานตามรูปแบบมาตรฐานสำหรับตัวเข้ารหัส - เข้าสู่ระบบจากที่ไหนเลย โดยจะเข้ารหัสไฟล์ สำหรับการเข้ารหัสที่แฮกเกอร์ต้องการค่าไถ่เป็น bitcoin

การปลดล็อคคอมพิวเตอร์เครื่องหนึ่งจะมีราคา 0.05 bitcoin ซึ่งเท่ากับ 283 ดอลลาร์ตามอัตราแลกเปลี่ยนปัจจุบัน หากชำระค่าไถ่แล้ว ผู้หลอกลวงจะส่งรหัสคีย์พิเศษที่จะช่วยให้คุณสามารถกู้คืนการทำงานปกติของระบบและไม่สูญเสียทุกอย่าง

หากผู้ใช้ไม่โอนเงินภายใน 48 ชั่วโมง จำนวนค่าไถ่จะเพิ่มขึ้น

แต่ควรจำไว้ว่าการจ่ายค่าไถ่อาจเป็นกับดักที่ไม่รับประกันว่าคอมพิวเตอร์จะถูกปลดล็อค

ESET สังเกตว่าขณะนี้ไม่มีการเชื่อมต่อระหว่างมัลแวร์และเซิร์ฟเวอร์ระยะไกล

ไวรัสดังกล่าวส่งผลกระทบต่อผู้ใช้ชาวรัสเซียมากที่สุด และในระดับที่น้อยกว่าคือบริษัทในเยอรมนี ตุรกี และยูเครน การแพร่กระจายเกิดขึ้นผ่านสื่อที่ติดเชื้อ ไซต์ที่ทราบว่าติดไวรัสถูกบล็อกแล้ว

ESET เชื่อว่าสถิติการโจมตีส่วนใหญ่สอดคล้องกับการกระจายทางภูมิศาสตร์ของไซต์ที่มี JavaScript ที่เป็นอันตราย

วิธีป้องกันตัวเอง

ผู้เชี่ยวชาญจาก Group-IB ซึ่งเกี่ยวข้องกับการป้องกันและการสอบสวนอาชญากรรมในโลกไซเบอร์ ให้คำแนะนำเกี่ยวกับวิธีการป้องกันตนเองจากไวรัส Bad Rabbit

โดยเฉพาะอย่างยิ่ง เพื่อป้องกันสัตว์รบกวนออนไลน์ คุณต้องสร้างไฟล์ C:\windows\infpub.dat บนคอมพิวเตอร์ของคุณและตั้งค่าสิทธิ์แบบอ่านอย่างเดียวสำหรับไฟล์นั้นในส่วนการดูแลระบบ

การดำเนินการนี้จะบล็อกการทำงานของไฟล์ และเอกสารทั้งหมดที่มาจากภายนอกจะไม่ถูกเข้ารหัสแม้ว่าจะติดไวรัสก็ตาม มีความจำเป็นต้องสร้างสำเนาสำรองของข้อมูลอันมีค่าทั้งหมด เพื่อที่ว่าในกรณีที่เกิดการติดเชื้อ คุณจะไม่สูญเสียข้อมูลนั้นไป

ผู้เชี่ยวชาญ Group-IB ยังแนะนำให้บล็อกที่อยู่ IP และ ชื่อโดเมนซึ่งเกิดการแพร่กระจาย ไฟล์ที่เป็นอันตรายให้ตั้งค่าตัวบล็อกป๊อปอัปสำหรับผู้ใช้

ขอแนะนำให้แยกคอมพิวเตอร์ออกจากระบบตรวจจับการบุกรุกอย่างรวดเร็ว ผู้ใช้พีซีควรตรวจสอบให้แน่ใจด้วยว่าสำเนาสำรองของโหนดเครือข่ายหลักเป็นปัจจุบันและครบถ้วน รวมถึงระบบปฏิบัติการและระบบความปลอดภัยได้รับการอัปเดต

“ในแง่ของนโยบายรหัสผ่าน: ใช้การตั้งค่านโยบายกลุ่มเพื่อห้ามการจัดเก็บรหัสผ่านใน LSA Dump ในรูปแบบข้อความที่ชัดเจน เปลี่ยนรหัสผ่านทั้งหมดให้เป็นรหัสผ่านที่ซับซ้อน” บริษัท กล่าวเสริม

รุ่นก่อน

ไวรัส WannaCry แพร่กระจายในอย่างน้อย 150 ประเทศในเดือนพฤษภาคม 2560 เขาเข้ารหัสข้อมูลและเรียกร้องให้จ่ายค่าไถ่ตามแหล่งต่าง ๆ ตั้งแต่ 300 ถึง 600 ดอลลาร์

ผู้ใช้มากกว่า 200,000 รายได้รับผลกระทบจากมัน ตามเวอร์ชันหนึ่งผู้สร้างใช้เป็นพื้นฐาน มัลแวร์เอ็นเอสเอ อีเทอร์นัล บลู ของสหรัฐฯ

การโจมตีทั่วโลกของไวรัส Petya ransomware เมื่อวันที่ 27 มิถุนายนส่งผลกระทบต่อระบบไอทีของบริษัทต่างๆ ในหลายประเทศทั่วโลก ซึ่งส่วนใหญ่ส่งผลกระทบต่อยูเครน

คอมพิวเตอร์ของบริษัทน้ำมัน พลังงาน โทรคมนาคม บริษัทยา และหน่วยงานของรัฐถูกโจมตี ตำรวจไซเบอร์ยูเครนระบุว่าการโจมตีแรนซัมแวร์เกิดขึ้นผ่านโปรแกรม M.E.doc

วัสดุนี้จัดทำขึ้นโดยใช้โอเพ่นซอร์ส

สวัสดีทุกคน! เมื่อวันก่อน การโจมตีของแฮกเกอร์ขนาดใหญ่เริ่มขึ้นในรัสเซียและยูเครน ตุรกี เยอรมนี และบัลแกเรีย โดยใช้ไวรัสเรียกค่าไถ่ตัวใหม่ Bad Rabbit หรือที่รู้จักกันในชื่อ Diskcoder.D ตัวเข้ารหัสเปิดอยู่ ช่วงเวลานี้โจมตีเครือข่ายองค์กรขององค์กรขนาดใหญ่และขนาดกลาง ปิดกั้นทุกเครือข่าย วันนี้เราจะมาบอกคุณว่าโทรจันนี้คืออะไร และคุณสามารถป้องกันตัวเองจากมันได้อย่างไร

ไวรัสชนิดไหน?

Bad Rabbit ทำงานตามรูปแบบมาตรฐานสำหรับแรนซัมแวร์: เมื่อเข้าสู่ระบบแล้ว มันจะเข้ารหัสไฟล์สำหรับการถอดรหัสซึ่งแฮกเกอร์ต้องการ 0.05 bitcoin ซึ่งอัตราแลกเปลี่ยนอยู่ที่ 283 ดอลลาร์ (หรือ 15,700 รูเบิล) มีการรายงานเรื่องนี้ หน้าต่างแยกต่างหากซึ่งคุณต้องป้อนรหัสที่ซื้อจริงๆ ภัยคุกคามคือโทรจันประเภทหนึ่ง โทรจัน.Win32.Genericแต่ก็มีส่วนประกอบอื่นๆ ด้วย เช่น DangerousObject.Multi.Genericและ เรียกค่าไถ่วิน 32.เจนเนอเรชั่นฟุตเทิล.

Bad Rabbit – ไวรัสแรนซัมแวร์ตัวใหม่

ยังคงเป็นเรื่องยากที่จะติดตามแหล่งที่มาของการติดเชื้อทั้งหมดอย่างสมบูรณ์ แต่ขณะนี้ผู้เชี่ยวชาญกำลังดำเนินการเรื่องนี้อยู่ สันนิษฐานว่าภัยคุกคามเข้าถึงพีซีผ่านไซต์ที่ติดไวรัสซึ่งมีการกำหนดค่าการเปลี่ยนเส้นทางหรือภายใต้หน้ากากของการอัพเดตปลอมสำหรับปลั๊กอินยอดนิยมเช่น Adobe Flash รายชื่อไซต์ดังกล่าวกำลังขยายตัวเท่านั้น

เป็นไปได้ไหมที่จะลบไวรัสและจะป้องกันตัวเองได้อย่างไร?

เป็นเรื่องที่ควรกล่าวถึงทันทีว่าในขณะนี้ห้องปฏิบัติการต่อต้านไวรัสทั้งหมดได้เริ่มวิเคราะห์โทรจันนี้แล้ว หากคุณกำลังมองหาข้อมูลเกี่ยวกับการกำจัดไวรัสโดยเฉพาะ ก็ไม่มีข้อมูลเช่นนั้น ทิ้งคำแนะนำมาตรฐานทันที - ทำการสำรองข้อมูลระบบ, จุดส่งคืน, ลบไฟล์ดังกล่าวและไฟล์ดังกล่าว หากคุณไม่มีการบันทึกแสดงว่าทุกอย่างใช้งานไม่ได้แฮกเกอร์เนื่องจากข้อกำหนดของไวรัสจึงคิดผ่านช่วงเวลาดังกล่าว

ฉันคิดว่าตัวถอดรหัสสำหรับ Bad Rabbit ที่สร้างโดยมือสมัครเล่นจะได้รับการเผยแพร่เร็วๆ นี้ ไม่ว่าคุณจะใช้โปรแกรมเหล่านี้หรือไม่ก็ตาม ก็เป็นทางเลือกของคุณเอง ดังที่ Petya ransomware ก่อนหน้านี้แสดงให้เห็น สิ่งนี้ช่วยได้เพียงเล็กน้อย

แต่คุณสามารถป้องกันภัยคุกคามและลบมันออกได้เมื่อคุณพยายามเข้าไปในพีซีของคุณ ห้องปฏิบัติการของ Kaspersky และ ESET เป็นห้องปฏิบัติการกลุ่มแรกที่ตอบสนองต่อรายงานการแพร่ระบาดของไวรัส และกำลังสกัดกั้นความพยายามในการเจาะระบบอยู่แล้ว เบราว์เซอร์ Google Chrome ยังได้เริ่มตรวจจับทรัพยากรที่ติดไวรัสและเตือนเกี่ยวกับอันตรายของทรัพยากรเหล่านั้น ต่อไปนี้คือสิ่งที่คุณต้องทำเพื่อป้องกันตัวเองจาก BadRabbit ก่อน:

  1. หากคุณใช้ Kaspersky, ESET, Dr.Web หรือแอนะล็อกยอดนิยมอื่นๆ ในการป้องกัน คุณต้องอัปเดตฐานข้อมูล นอกจากนี้ สำหรับ Kaspersky คุณต้องเปิดใช้งาน "Activity Monitor" (System Watcher) และใน ESET จะใช้ลายเซ็นพร้อมอัปเดต 16295

  2. หากคุณไม่ได้ใช้โปรแกรมป้องกันไวรัส คุณจะต้องบล็อกการทำงานของไฟล์ C:\Windows\infpub.datและ C:\Windows\cscc.dat. ซึ่งทำได้ผ่านตัวแก้ไขนโยบายกลุ่มหรือโปรแกรม AppLocker สำหรับ Windows

    3. ขอแนะนำให้ปิดการใช้งานบริการ - เครื่องมือการจัดการ Windows (WMI). ในสิบอันดับแรกบริการนี้เรียกว่า “เครื่องมือ การจัดการวินโดวส์. ใช้ปุ่มขวาป้อนคุณสมบัติบริการแล้วเลือก “ประเภทสตาร์ทอัพ”โหมด "พิการ".

  3. อย่าลืมสำรองข้อมูลระบบของคุณ ตามทฤษฎีแล้ว สำเนาควรถูกเก็บไว้ในสื่อที่เชื่อมต่อเสมอ นี่คือคำแนะนำวิดีโอสั้น ๆ เกี่ยวกับวิธีการสร้าง

    4. บทสรุป

    โดยสรุป เป็นสิ่งที่ควรค่าแก่การพูดสิ่งที่สำคัญที่สุด - คุณไม่ควรจ่ายค่าไถ่ไม่ว่าคุณจะเข้ารหัสอะไรก็ตาม การกระทำดังกล่าวส่งเสริมให้นักหลอกลวงสร้างการโจมตีของไวรัสครั้งใหม่เท่านั้น ติดตามฟอรัมของบริษัทแอนตี้ไวรัสที่ฉันหวังว่าจะได้ศึกษาไวรัส Bad Rabbit และค้นหายาที่มีประสิทธิภาพในเร็วๆ นี้ อย่าลืมทำตามขั้นตอนข้างต้นเพื่อปกป้องระบบปฏิบัติการของคุณ หากคุณมีปัญหาในการกรอกให้เสร็จสิ้น โปรดเขียนความคิดเห็น

Bad Rabbit เป็นไวรัสที่เป็นของไวรัสแรนซัมแวร์ที่เข้ารหัส ปรากฏค่อนข้างเร็ว ๆ นี้และมุ่งเป้าไปที่คอมพิวเตอร์ของผู้ใช้ในรัสเซียและยูเครนเป็นหลักรวมถึงบางส่วนในเยอรมนีและตุรกี

หลักการทำงานของไวรัสแรนซัมแวร์จะเหมือนกันเสมอ: เมื่ออยู่ในคอมพิวเตอร์ โปรแกรมที่เป็นอันตรายจะเข้ารหัสไฟล์ระบบและข้อมูลผู้ใช้ และบล็อกการเข้าถึงคอมพิวเตอร์โดยใช้รหัสผ่าน ทั้งหมดที่แสดงบนหน้าจอคือหน้าต่างไวรัส ความต้องการของผู้โจมตี และหมายเลขบัญชีที่เขาต้องการโอนเงินเพื่อปลดล็อค หลังจากการแพร่กระจายของสกุลเงินดิจิทัลจำนวนมหาศาล การเรียกร้องค่าไถ่เป็น bitcoin กลายเป็นที่นิยม เนื่องจากการทำธุรกรรมกับสกุลเงินเหล่านั้นเป็นเรื่องยากมากที่จะติดตามจากภายนอก Bad Rabbit ก็ทำเช่นเดียวกัน มันใช้ประโยชน์จากช่องโหว่ของระบบปฏิบัติการ โดยเฉพาะใน Adobe แฟลชเพลเยอร์และแทรกซึมเข้าไปภายใต้หน้ากากของการอัปเดตสำหรับมัน

หลังจากการติดไวรัส BadRabbit จะสร้างในโฟลเดอร์ ไฟล์วินโดว์ infpub.dat ซึ่งสร้างไฟล์โปรแกรมที่เหลือ: cscc.dat และ dispci.exe ซึ่งทำการเปลี่ยนแปลงการตั้งค่า ดิสก์ MBRผู้ใช้และสร้างงานคล้ายกับ Task Scheduler โปรแกรมที่เป็นอันตรายนี้มีเว็บไซต์ส่วนตัวของตัวเองสำหรับการจ่ายค่าไถ่ ใช้บริการเข้ารหัส DiskCryptor เข้ารหัสโดยใช้วิธี RSA-2048 และ AE และยังตรวจสอบอุปกรณ์ทั้งหมดที่เชื่อมต่อกับ คอมพิวเตอร์เครื่องนี้พยายามที่จะแพร่เชื้อให้พวกเขาด้วย

จากการประเมินของไซแมนเทค ไวรัสได้รับสถานะเป็นภัยคุกคามต่ำ และตามข้อมูลของผู้เชี่ยวชาญ ไวรัสดังกล่าวถูกสร้างขึ้นโดยนักพัฒนากลุ่มเดียวกับไวรัสที่ค้นพบเมื่อสองสามเดือนก่อน Bad Rabbit, NotPetya และ Petya เนื่องจากมีอัลกอริธึมการทำงานคล้ายกัน มัลแวร์เรียกค่าไถ่ Bad Rabbit ปรากฏตัวครั้งแรกในเดือนตุลาคม 2560 และเหยื่อรายแรกคือหนังสือพิมพ์ออนไลน์ Fontanka สื่อหลายแห่ง และเว็บไซต์ของสำนักข่าว Interfax บริษัท Beeline ก็ถูกโจมตีเช่นกัน แต่ภัยคุกคามก็ถูกหลีกเลี่ยงได้ทันเวลา

หมายเหตุ: โชคดีที่โปรแกรมตรวจจับภัยคุกคามประเภทนี้มีประสิทธิภาพมากกว่าเมื่อก่อน และความเสี่ยงในการติดไวรัสนี้ก็ลดลง

การกำจัดไวรัส Bad Rabbit

การกู้คืนบูตโหลดเดอร์

เช่นเดียวกับในกรณีส่วนใหญ่ของประเภทนี้ เพื่อกำจัดภัยคุกคาม คุณสามารถลองกู้คืนได้ ตัวโหลดบูต Windows. ในกรณีของ Windows 10 และ Windows 8 ในการดำเนินการนี้คุณต้องเชื่อมต่อการกระจายการติดตั้งระบบเข้ากับ USB หรือ DVD และหลังจากบูตเครื่องแล้วให้ไปที่ตัวเลือก "แก้ไขคอมพิวเตอร์ของคุณ" หลังจากนั้นคุณต้องไปที่ “การแก้ไขปัญหา” และเลือก “ บรรทัดคำสั่ง».

ตอนนี้สิ่งที่เหลืออยู่คือการป้อนคำสั่งทีละคำสั่งโดยกด Enter แต่ละครั้งหลังจากป้อนคำสั่งถัดไป:

  1. bootrec /FixMbr
  2. bootrec /FixBoot
  3. bootrec /ScanOs
  4. bootrec /RebuildBcd

หลังจากการดำเนินการเสร็จสิ้น ให้ออกและรีบูต ส่วนใหญ่มักจะเพียงพอที่จะแก้ปัญหาได้
สำหรับ Windows 7 ขั้นตอนจะเหมือนกัน มีเพียง "Command Prompt" เท่านั้นที่อยู่ใน "Options" การกู้คืนระบบ“เรื่องการกระจายการติดตั้ง

การลบไวรัสโดยใช้ Safe Mode

หากต้องการใช้วิธีนี้ คุณต้องเข้าสู่ระบบ โหมดปลอดภัยด้วยการสนับสนุนเครือข่าย มันมาพร้อมกับการรองรับเครือข่ายและไม่ใช่ Safe Mode แบบธรรมดา ใน Windows 10 สามารถทำได้อีกครั้งผ่านการกระจายการติดตั้ง หลังจากบูทจากนั้นในหน้าต่างที่มีปุ่ม "ติดตั้ง" คุณจะต้องกดคีย์ผสม Shift+F10 แล้วป้อนลงในช่อง:

bcdedit /set (ค่าเริ่มต้น) เครือข่าย safeboot

ใน Windows 7 คุณสามารถกด F8 หลายครั้งในขณะที่เปิดคอมพิวเตอร์และเลือกโหมดการบูตนี้จากรายการในเมนูที่ปรากฏขึ้น
หลังจากเข้าสู่ Safe Mode เป้าหมายหลักคือการสแกนระบบปฏิบัติการเพื่อหาภัยคุกคาม จะดีกว่าถ้าทำเช่นนี้ผ่านยูทิลิตี้ที่ผ่านการทดสอบตามเวลาเช่น Reimage หรือ Malwarebytes Anti-Malware

กำจัดภัยคุกคามโดยใช้ Recovery Center

สำหรับการใช้งาน วิธีนี้คุณต้องใช้ "บรรทัดคำสั่ง" อีกครั้งตามคำแนะนำข้างต้น และหลังจากเปิดใช้งานแล้ว ให้เข้าสู่การคืนค่าซีดีและยืนยันโดยกด Enter หลังจากนี้คุณจะต้องเข้าสู่ rstrui.exe หน้าต่างโปรแกรมจะเปิดขึ้นซึ่งคุณสามารถกลับไปยังจุดคืนค่าก่อนหน้าก่อนหน้าการติดไวรัสได้

Kaspersky Lab เชื่อว่าอาจเป็นลางสังหรณ์ของไวรัสเข้ารหัสระลอกที่สาม สองคนแรกคือ WannaCry และ Petya ที่น่าตื่นเต้น (aka NotPetya) ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์บอกกับ MIR 24 เกี่ยวกับการเกิดขึ้นของมัลแวร์เครือข่ายตัวใหม่ และวิธีป้องกันการโจมตีที่ทรงพลัง

เหยื่อของการโจมตี Bad Rabbit ส่วนใหญ่อยู่ในรัสเซีย มีน้อยกว่าอย่างเห็นได้ชัดในยูเครน ตุรกี และเยอรมนี หัวหน้าแผนกวิจัยแอนติไวรัสของ Kaspersky Lab กล่าว วยาเชสลาฟ ซาคอร์เซฟสกี. อาจเป็นไปได้ว่าประเทศที่มีการใช้งานมากเป็นอันดับสองคือประเทศที่ผู้ใช้ตรวจสอบทรัพยากรอินเทอร์เน็ตของรัสเซียอย่างแข็งขัน

เมื่อมัลแวร์แพร่ระบาดในคอมพิวเตอร์ มันจะเข้ารหัสไฟล์ในเครื่องนั้น มันถูกเผยแพร่โดยใช้การเข้าชมเว็บจากแหล่งข้อมูลอินเทอร์เน็ตที่ถูกแฮ็ก ซึ่งส่วนใหญ่เป็นไซต์ของสื่อของรัฐบาลกลางรัสเซีย เช่นเดียวกับคอมพิวเตอร์และเซิร์ฟเวอร์ของรถไฟใต้ดิน Kyiv กระทรวงโครงสร้างพื้นฐานของยูเครน และสนามบินนานาชาติโอเดสซา ความพยายามโจมตีธนาคารรัสเซียจาก 20 อันดับแรกไม่สำเร็จก็ถูกบันทึกไว้เช่นกัน

ข้อเท็จจริงที่ว่า Fontanka, Interfax และสิ่งพิมพ์อื่นๆ จำนวนหนึ่งถูกโจมตีโดย Bad Rabbit ได้รับการรายงานเมื่อวานนี้โดย Group-IB ซึ่งเป็นบริษัทที่เชี่ยวชาญด้าน ความปลอดภัยของข้อมูล. การวิเคราะห์รหัสไวรัสพบว่า Bad Rabbit มีความเกี่ยวข้องกับ Not Petya ransomware ซึ่งในเดือนมิถุนายนในปีนี้โจมตีบริษัทพลังงาน โทรคมนาคม และการเงินในยูเครน

การโจมตีนี้เตรียมการไว้เป็นเวลาหลายวัน และถึงแม้การติดเชื้อจะมีขนาดใหญ่ แต่แรนซัมแวร์ก็เรียกร้องเงินจำนวนเล็กน้อยจากเหยื่อของการโจมตี - 0.05 bitcoin (ประมาณ 283 ดอลลาร์หรือ 15,700 รูเบิล) มีเวลา 48 ชั่วโมงสำหรับการแลกรางวัล หลังจากช่วงเวลานี้สิ้นสุดลง จำนวนเงินจะเพิ่มขึ้น

ผู้เชี่ยวชาญ Group-IB เชื่อว่าแฮกเกอร์ไม่มีความตั้งใจที่จะทำเงิน เป้าหมายที่เป็นไปได้คือการตรวจสอบระดับการป้องกันเครือข่ายโครงสร้างพื้นฐานที่สำคัญขององค์กร หน่วยงานภาครัฐ และบริษัทเอกชน

ตกเป็นเหยื่อของการโจมตีได้ง่าย

เมื่อผู้ใช้เยี่ยมชมไซต์ที่ติดไวรัส โค้ดที่เป็นอันตรายจะส่งข้อมูลเกี่ยวกับไซต์นั้นไปยังเซิร์ฟเวอร์ระยะไกล ถัดไป หน้าต่างป๊อปอัปจะปรากฏขึ้นเพื่อขอให้คุณดาวน์โหลดอัปเดตสำหรับ Flash Player ซึ่งเป็นของปลอม หากผู้ใช้อนุมัติการดำเนินการ "ติดตั้ง" ไฟล์จะถูกดาวน์โหลดลงในคอมพิวเตอร์ ซึ่งจะเปิดตัวเข้ารหัส Win32/Filecoder.D ในระบบ จากนั้น การเข้าถึงเอกสารจะถูกบล็อก และข้อความเรียกค่าไถ่จะปรากฏขึ้นบนหน้าจอ

ไวรัส Bad Rabbit จะสแกนเครือข่ายเพื่อหาทรัพยากรเครือข่ายแบบเปิด หลังจากนั้นไวรัสจะเปิดตัวเครื่องมือบนเครื่องที่ติดไวรัสเพื่อรวบรวมข้อมูลประจำตัว และ “พฤติกรรม” นี้แตกต่างจากรุ่นก่อน

ผู้เชี่ยวชาญจากผู้พัฒนาซอฟต์แวร์ป้องกันไวรัสระดับสากล Eset NOD 32 ยืนยันว่า Bad Rabbit เป็นการดัดแปลงใหม่ ไวรัสเพ็ตย่าซึ่งมีหลักการทำงานเหมือนกัน - ข้อมูลที่เข้ารหัสของไวรัสและเรียกร้องค่าไถ่เป็น bitcoin (จำนวนเงินเทียบได้กับ Bad Rabbit - 300 ดอลลาร์) มัลแวร์ใหม่แก้ไขข้อผิดพลาดในการเข้ารหัสไฟล์ รหัสที่ใช้ในไวรัสได้รับการออกแบบมาเพื่อเข้ารหัสไดรฟ์แบบลอจิคัล ไดรฟ์ USB ภายนอก และอิมเมจซีดี/ดีวีดี รวมถึงพาร์ติชันดิสก์ระบบที่สามารถบูตได้

พูดถึงผู้ชมที่ถูกโจมตีโดย Bad Rabbit หัวหน้าฝ่ายสนับสนุนการขายของ ESET Russia วิตาลี เซมสคิคระบุว่า 65% ของการโจมตีที่หยุดโดยผลิตภัณฑ์ป้องกันไวรัสของบริษัทนั้นเกิดขึ้นในรัสเซีย ภูมิศาสตร์ที่เหลือของไวรัสตัวใหม่มีลักษณะดังนี้:

ยูเครน – 12.2%

บัลแกเรีย – 10.2%

ตุรกี – 6.4%

ญี่ปุ่น – 3.8%

อื่น ๆ – 2.4%

“รู้จักการโจมตีของแรนซัมแวร์ ซอฟต์แวร์โอเพ่นซอร์สที่เรียกว่า DiskCryptor เพื่อเข้ารหัสดิสก์ของเหยื่อ หน้าจอล็อคข้อความที่ผู้ใช้เห็นนั้นแทบจะเหมือนกับหน้าจอล็อคของ Petya และ NotPetya อย่างไรก็ตาม นี่เป็นความคล้ายคลึงเพียงอย่างเดียวที่เราพบเห็นระหว่างมัลแวร์ทั้งสองนี้ ในด้านอื่นๆ ทั้งหมด BadRabbit เป็นแรนซัมแวร์รูปแบบใหม่ที่ไม่เหมือนใคร” ผู้อำนวยการด้านเทคนิคของ Check Point Software Technologies กล่าว นิกิต้า ดูรอฟ.

จะป้องกันตัวเองจาก Bad Rabbit ได้อย่างไร?

ผู้ถือ ระบบปฏิบัติการผู้ใช้ที่ไม่ใช่ Windows สามารถถอนหายใจด้วยความโล่งอกได้ เนื่องจากไวรัสแรนซัมแวร์ตัวใหม่ทำให้คอมพิวเตอร์ที่มี "แกน" นี้มีความเสี่ยงเท่านั้น

เพื่อป้องกันมัลแวร์เครือข่าย ผู้เชี่ยวชาญแนะนำให้สร้างไฟล์ C:\windows\infpub.dat บนคอมพิวเตอร์ของคุณและตั้งค่าสิทธิ์แบบอ่านอย่างเดียวสำหรับไฟล์ ซึ่งทำได้ง่ายในส่วนการดูแลระบบ ด้วยวิธีนี้ คุณจะบล็อกการทำงานของไฟล์ และเอกสารทั้งหมดที่มาจากภายนอกจะไม่ถูกเข้ารหัสแม้ว่าจะติดไวรัสก็ตาม เพื่อหลีกเลี่ยงการสูญเสียข้อมูลอันมีค่าในกรณีที่ติดไวรัส ให้ทำสำเนาสำรองทันที และแน่นอนว่าควรจำไว้ว่าการจ่ายค่าไถ่เป็นกับดักที่ไม่รับประกันว่าคอมพิวเตอร์ของคุณจะถูกปลดล็อค

เราขอเตือนคุณว่าไวรัสแพร่กระจายไปอย่างน้อย 150 ประเทศทั่วโลกในเดือนพฤษภาคมของปีนี้ เขาเข้ารหัสข้อมูลและเรียกร้องให้จ่ายค่าไถ่ตามแหล่งต่าง ๆ ตั้งแต่ 300 ถึง 600 ดอลลาร์ ผู้ใช้มากกว่า 200,000 รายได้รับผลกระทบจากมัน ตามเวอร์ชันหนึ่ง ผู้สร้างใช้มัลแวร์ US NSA Eternal Blue เป็นพื้นฐาน

Alla Smirnova พูดคุยกับผู้เชี่ยวชาญ