Naprawiono: Jak Naprawić Złośliwe Oprogramowanie Rabbit TV

Ten przewodnik klienta pomoże Ci, jeśli właściciele mają złośliwe oprogramowanie dla królików.

Przyspiesz swój komputer za pomocą kilku kliknięć

  • Krok 1: Pobierz ASR Pro
  • Krok 2: Otwórz program i wybierz „Skanuj swój komputer”
  • Krok 3: Kliknij „Napraw”, aby rozpocząć proces naprawy
  • Pobierz to narzędzie do optymalizacji komputera, aby przyspieszyć działanie komputera.

    Bomba widełkowa (również realizowana jako „wirus królika”) to godny zaufania atak typu „odmowa usługi”, w którym wiele osób (dos) stale rekursywnie używa telefonu systemowego, takiego jak fork, dopóki cały system nie wskaże wykonania polecenia. System konwertuje przeciążony i niezdolny do dostosowania się do wszystkich wejść.

    Co się stało?

    Co to jest atak CryptoLocker?

    Atak ransomware CryptoLocker był rodzajem specyficznego cyberataku przy użyciu oprogramowania ransomware CryptoLocker, dlaczego miał miejsce od 5 września 2013 roku do końca maja tego roku. W ataku wykorzystano trojana any atakującego komputery uruchomione 5 września 2013 r.

    Październik przez cały dzień i otrzymałem powiadomienia o szybkim narastaniu ataków ransomware Bad Rabbit. Ukierunkowany był na organizacje, a zatem konsumentów, głównie w Rosji, ale teraz są też informacje o ofiarach na Ukrainie. Oto, jak wygląda spersonalizowana wiadomość z żądaniem okupu dla nieszczęsnych ofiar:

    Co to jest zły królik?

    Jak rozprzestrzenia się Bad Rabbit Ransomware?

    Dystrybuowane za darmo za pomocą Drive-by Bits. Kiedy cel odwiedza obecnie legalną inną witrynę internetową, program uruchamiający złośliwe oprogramowanie jest zwykle instalowany z infrastruktury atakującego. Znaczenie nie zostało użyte, ofiara w pełni uruchomiła Droppera, złośliwe oprogramowanie wyświetlające się jako Adobe Flash. Jednak nasze porównanie potwierdziło, że Bad Rabbit wykorzystuje najważniejszy exploit EternalRomance jako wektor infekcji do rozprzestrzeniania się w sieciach korporacyjnych. Użyj tego samego ExPetra co .Detected

    Kupujemy najnowszą liczbę włamań do witryn związanych z witrynami z notatkami informacyjnymidiamarketing.

    Dla kogo?

    Większość z nich z pewnością może być wycelowana w Rosję, niemniej jednak podobne i mniejsze ataki zdarzały się również w innych krajach, takich jak Ukraina, Turcja i Niemcy. W 100%, według statystyk KSN, zwykle jest około 200 bramek.

    Od kiedy Kaspersky Lab rozpoznał zagrożenie kredytowe?

    szkodliwe oprogramowanie dla królików

    Jesteśmy pobłogosławieni tym, że aktywnie identyfikujemy początkowy wektor leczenia, odkąd problem pojawił się po raz pierwszy rankiem dwudziestego czwartego października. Atak trwał od południa do momentu, w którym ataki zostały zarejestrowane o 19:55 czasu moskiewskiego. O zmierzchu (czasu moskiewskiego) wystąpił awaria serwera, który miał być dostarczony przez dropper Bad Rabbit.

    Czym różni się od ExPetra? Czy to nawet złośliwe oprogramowanie?

    Nasze badania wskazują, że był to specyficzny atak na systemy korporacyjne przy użyciu podejścia podobnego do ataku eksperckiego. Co więcej, analiza kodu wykazała udane podobieństwo między kodem królika a ekspertem Bad Binaries.

    Szczegóły techniczne

    Co to jest nowe oprogramowanie ransomware?

    Cyberprzestępcy nadal rozpowszechniają zupełnie nową formę związaną z oprogramowaniem ransomware Bites of Food przeciwko zaatakowanym osobom, w którym nie tylko bronią sieci, ale także grożą rozprzestrzenianiem się ataków typu „odmowa usługi” (DDoS), wymykając się spod kontroli pracownikom i partnerom biznesowym bez konieczności płacenia okupu .

    Według naszej telemetrii, czyli oprogramowania ransomware dystrybuowanego za pośrednictwem najnowszego ataku drive-by.

    Ponadto, zgodnie z danymi osobowymi telemetrycznymi ładunku, legalne wiadomości Wiarygodne strony internetowe kierują ofiarami swoich złośliwych zasobów internetowych.

    Przyspiesz swój komputer za pomocą kilku kliknięć

    Narzędzie naprawcze ASR Pro to rozwiązanie dla komputera z systemem Windows, który działa wolno, ma problemy z rejestrem lub jest zainfekowany złośliwym oprogramowaniem. To potężne i łatwe w użyciu narzędzie może szybko zdiagnozować i naprawić komputer, zwiększając wydajność, optymalizując pamięć i poprawiając bezpieczeństwo procesu. Nie cierpisz już z powodu powolnego komputera — wypróbuj ASR Pro już dziś!


    Plik do pobrania o nazwie install_flash_player.exe z przepraszanej ofiary musi zostać wprowadzony ręcznie. Do dokładnego działania potrzebowałby podwyższonych uprawnień administratora, które próbuje uzyskać, implikując monity UAC. Podczas uruchamiania urządzenie zapisuje złośliwe biblioteki DLL w katalogu C:Windowsinfpub. I uruchamia go z pomocą Rundll32.

    Co to jest atak Maze?

    Zazwyczaj Maze jest instalowany na nowym komputerze ofiary przy użyciu ważnego wątku phishingowego (coraz częściej pojawia się nowy subskrybent spear phishingu), który zawiera złośliwe łącze, takie jak „dokument Word Microsoft z włączonymi makrami lub pojedynczy plik zip chroniony hasłem”. plik.”

    infpub.dat wydaje się być szczególnie powiązany z najpopularniejszą brutalną siłą uwierzytelnienia NTLM dla pseudolosowych adresów IP systemu Windows.

    infpub.dat instaluje również niebezpieczny plik Dispci exe.into exe i buduje coś c:Windows i uruchamia go.

    Agent pseudokodowy tworzy jedno konkretne zadanie, aby uwolnić szkodliwy plik wykonywalny

    Ponadto infpub.dat jest typowym oprogramowaniem ransomware szyfrującym pliki: ten program wyszukuje dane osób za pomocą wbudowanej listy, a dodatkowo szyfruje je za pomocą klucza publicznego RSA przestępcy. 2048 klawiszy.

    Dispci.exe jest prawdopodobnie oparty na legalnym narzędziu opartym na kodzie DiskCryptor danej osoby. Reaguje w ramach szyfrowania dysku, które instaluje również przechwycony bootloader i ogranicza normalne uruchamianie zainfekowanego komputera.

    Ciekawym punktem, który zauważyliśmy, przyglądając się tej konkretnej próbce tego zbliżającego się zagrożenia, jest to, że wydaje się, że nasi sprawcy stojący za tym oprogramowaniem szpiegującym są entuzjastami znanej instrukcji obsługi i ogólnie serii Field Thrones. Niektóre z ulubionych wierszy w kodzie zawierają gwiazdki ze znaków innych niż szeregowe.

    Schemat szyfrowania

    Jak informowaliśmy, Bad Rabbit szyfruje indywidualne pliki ransomware wraz z twardym tworzeniem. Pliki są szyfrowane przy użyciu następujących, jednoosobowych algorytmów:

    1. AES-128-CBC
    2. RSA-2048

    Co ciekawe, oprogramowanie ransomware zazwyczaj wyświetla listę wszystkich uruchomionych procesów i porównuje swoją zahaszowaną nazwę, która wygląda jak każde przedsięwzięcie, z wbudowanymi standardami hashowania. uwaga, ważne jest, aby program mieszający był podobny do algorytmu ExPetr.

    Hash nazwa procesu
    0x4A241C3E dwwatcher.exe
    0x923CA517 McTray.exe
    0x966D0415 dwarkdaemon.exe
    0xAA331620 dwservice.exe
    0xC8F10976 mfevtps.exe
    0xE2517A14 dwengine.exe
    0xE5A05A00 mcshield.Teiler wykonywalny

    Te znajdujące się na dyskach twardych naszej ofiary są chronione przez instalację sterownika Dcrypt diskcryptor.sys (który jest często instalowany wraz z C:Windowsscscc with.dat). Ransomware wysyła kod IOCTL, który ma zostać wywołany do tej osoby. Niektóre funkcje wywodzą się pierwotnie z DiskCryptor (drv_ioctl.Many c), inne wydają się być bezpośrednio zaimplementowane przez inżynierów oprogramowania przy użyciu spyware.sections

    Dyski dysków na 100% zainfekowanym komputerze są zwykle szyfrowane dzięki uprzejmości sterownika DiskCryptor używającego osłony szyfrowanej AES w trybie XTS. Hasło jest często generowane przez funkcję dispci.Mit exe WinAPI CryptGenRandom i ma długość trzydziestu dwóch znaków.

    Ocena możliwości deszyfrowania

    W przeciwieństwie do ExPetr, dane sugerują, że zły Rabbit prawdopodobnie nie jest uważany za wycieraczkę. Wcześniej w naszym artykule pisaliśmy, ponieważ osoby atakujące ExPetr nie są technicznie wykwalifikowane do odszyfrowania MFT zaszyfrowanego przez niektóre komponenty GoldenEye. Jednak w potędze Bad Rabbit program złośliwego oprogramowania oznacza, że ​​atakujący zwykle mają szczególne środki do złamania danych konta potrzebnych do odszyfrowania go. Etykiety dysków.

    Liczby na ekranie niebezpiecznej maszyny, ustawione jako „bardziej prywatne w przeciwieństwie do klucza nr 1”, prawdopodobnie są zabezpieczonym plikiem binarnym zakodowanym w base64 RSA-2048, reprezentującym informacje o kopii zapasowej zebrane z głównego zhakowanego systemu

    W tym: hakerzy mogą użyć większości swojego klucza prywatnego rsa do odszyfrowania tej specyficznej, unikalnej struktury. odszyfrowania, najprawdopodobniej wyślą te informacje do sposobu, w jaki ofiara.

    złośliwe oprogramowanie dla królików

    Pobierz to narzędzie do optymalizacji komputera, aby przyspieszyć działanie komputera.

    Rabbit Tv Malware
    Malware Tv Lapin
    Software Malicioso De La Television Del Conejo
    Coelho Tv Malware
    Vredonosnoe Po Dlya Krolikov
    토끼 Tv 멀웨어
    Konijn Tv Malware
    Rabbit Tv Malware
    Rabbit Tv Malware
    Malware Coniglio Tv