Що таке PureLocker (05.19.24)

2019 рік побачив низку загроз-програм-вимагачів, які скалічили як окремі комп’ютери, так і цілі організації. Одне з таких програм-вимагачів, яке потрапило в заголовки новин, - це вимога-вимога PureLocker. Це шкідливе програмне забезпечення, здатне атакувати як виробничі сервери, так і ОС Windows та Linux.

Викупник PureLocker так називається, оскільки його код написаний мовою програмування PureBasic. Це дає йому кілька переваг перед іншими сімействами-вимагателями. По-перше, PureBasic не є настільки поширеним, що означає, що багато рішень проти зловмисного програмного забезпечення не відповідають завданням, коли йдеться про боротьбу із загрозою, яку він створює. Іншими словами, багато антивірусні програми обмежені, коли йдеться про виявлення підписів з бінарних файлів PureBasic.

Незважаючи на те, що багато в чому роман, програма-вимагатель PureLocker все ще використовує певний код із відомих сімейств-вимоглив, таких як сімейство-вимога «more_eggs». More_eggs продається як зловмисне програмне забезпечення як послуга (MaaS) у темній мережі, що означає, що атаки PureLocker пов'язані з кримінальними групами підземного світу, такими як Cobalt Group та бандою FIN6.

Що таке шкідливе програмне забезпечення PureLocker

Ми вже встановили, що вимога-програма PureLocker дещо відрізняється від інших шкідливих програм, але як саме вона працює? Відомо, що програма-вимагатель уникає підключення API користувацького режиму функцій NTDLL, завантажуючи копію “ntdll.dll” і визначаючи звідти адреси API. Цей трюк ухилення ускладнює антивірусним програмам протидію зловмисному програмному забезпеченню, оскільки підключення API - це те, що антивірусні програми використовують, щоб побачити точні функції, які викликаються шкідливим програмним забезпеченням або будь-яким іншим програмним забезпеченням.

Зловмисне програмне забезпечення також видає інструкції щодо встановлення компонентів PureLocker до утиліти командного рядка в Windows, яка називається regrsrv32.exe. Це робиться без будь-яких діалогів. Після виконання regrsrv32.exe зловмисне програмне забезпечення підтверджує рік і підтверджує його розширення файлу як .DLL або .OCX. Це також підтверджує, чи має користувач комп'ютера права адміністратора. Якщо будь-яка з цих перевірок не вдасться, шкідливе програмне забезпечення тихо вийде із зараженого комп’ютера, ніби нічого не сталося, але якщо виявиться, що все в порядку, то цільові комп’ютерні файли будуть зашифровані зі стандартною комбінацією шифрування AES + RSA. Розширення .CRI додається для кожного зашифрованого файлу. Тіньові файли або резервні копії Windows видаляються під час зараження, так що у вас немає можливості відновити свої файли.

Останнє незвичне у програмі-вимагателе PureLocker полягає в тому, що замість того, щоб відображати readme.txt, який повідомляє користувачам, куди надсилати гроші на викуп, він видає анонімну та зашифровану електронну адресу, яка зв’язує зловмисників із жертвами. Якщо вони досягнуть згоди, пропонується розшифрувати файли.

Як видалити вимога-програму PureLocker зі свого комп’ютера

PureLocker є унікальним шкідливим програмним забезпеченням багатьма способами, і він може залишатися прихованим на комп’ютері без виявлення протягом дуже довгого часу. Отже, варіантів видалення шкідливого програмного забезпечення обмежено декілька. Але яким би ви не були відчайдухом, вам ніколи не слід роздумувати про викуп злочинцям, які стоять за шкідливим програмним забезпеченням. З одного боку, це лише зробить вас ціллю наступного разу, оскільки ваша готовність платити - це єдине, що стимулює кіберзлочинців. Крім того, слід врахувати можливість того, що творці шкідливих програм не збираються виконувати обіцянку розшифрувати ваші файли після отримання викупу, тому що подумайте, що може статися, якщо вони не виконають свій кінець угоди? На жаль, нічого.

Отже, що ви можете зробити, щоб звільнити свій комп’ютер від програми-вимагателя PureLocker, якщо оплата викупу не передбачена? Радимо запустити комп’ютер у безпечному режимі з мережею. Це дасть вам доступ до мережевих реімгів, які ви зможете згодом використовувати для завантаження потужного рішення проти зловмисного програмного забезпечення, такого як Outbyte Antivirus .

Антивірус видалить вимога-захист PureLocker та всі зловмисні програми компонентів.

Для завантаження в безпечному режимі з мережею в Windows 7 / Vista або Windows XP виконайте такі дії:

  • Перейдіть до Пуск & gt; Вимкнення & gt; Перезапустити & gt; Добре.
  • Коли комп’ютер перезавантажується, кілька разів натискайте F8 , поки не з’явиться меню Додаткові параметри завантаження .
  • Виберіть Безпечний режим із мережею , натиснувши клавішу F5 .

    • Безпечний режим із мережею у Windows 8 та 10:

  • Утримуйте кнопку живлення приблизно 10 секунд, щоб вимкнути комп’ютер.
  • Натисніть кнопку живлення ще раз, цього разу, щоб увімкнути пристрій.
  • Виконуйте наведені вище дії кілька разів, доки ваші пристрої не увійдуть у Середовище відновлення Windows (winRE).
  • На екрані Виберіть варіант , що з’явиться, виберіть Виправлення неполадок & gt; Додаткові параметри & gt; Налаштування запуску & gt; Перезавантажте.
  • Після перезавантаження комп’ютера ви побачите список опцій. Використовуйте клавіші зі стрілками, щоб вибрати Безпечний режим з мережею .

    • Якщо параметр Безпечний режим з мережею не вдається видалити вимога-програму PureLocker, ви можете повторити наведені вище дії. Але цього разу замість того, щоб вибрати Параметри запуску, виберіть Відновлення системи.

    Відновлення системи - це процес відновлення Windows, який дозволяє повернути зміни до налаштувань та додатки на вашому комп’ютері. Ви можете використовувати його для видалення програм та програмного забезпечення, яке є проблематичним.

    Якщо шкідливе програмне забезпечення PureLocker потрапило на ваш Mac, ви можете використовувати Time Machine для відновлення деяких своїх файлів, налаштувань та програм. Але як і у випадку із відновленням системи, резервна копія Time Machine повинна бути доступна до будь-якого зараження.

    Якщо все інше не вдається, і це стосується і вашого Mac, подумайте про встановлення нової версії ОС.

    Захист комп’ютера від зараження має бути найважливішим завданням, яке ви берете на себе. Ось декілька порад, щоб запобігти шкідливим програмам, таким як PureLocker, ніколи не заражати вашу організацію.

    Оновити всі ваші системи

    Прикро, що деякі організації все ще використовують старі версії Windows, такі як Windows XP, які більше не отримують офіційних повідомлень. захист від Microsoft. Колись Windows XP була чудовим продуктом, але з тих пір світ рухався далі, і дотримуючись його лише збільшує шанси на використання однієї з багатьох вразливих місць проти вас.

    Встановіть анти-зловмисне програмне забезпечення

    Чи є у вас на комп’ютері преміум-рішення проти зловмисного програмного забезпечення? Якщо ні, то у вас повинен бути один, і, будучи на ньому, ви також повинні подумати про встановлення інструменту для ремонту ПК, такого як Outbyte PC Repair . Цей інструмент буде постійно перевіряти стан вашого ПК. Це також очистить ваші місця для зберігання, допоможе відновити пошкоджені або пошкоджені записи реєстру та оптимізує роботу оперативної пам'яті.

    Створіть резервну копію своїх файлів

    Ви повинні мати фізичний диск, де ви зберігаєте деякі свої важливі файли на випадок, якщо на ваші системи потрапить такий неприємний сюрприз, як шкідливе програмне забезпечення PureLocker. Без загрози втрати файлів атака-вимагальник буде як кожен день в офісі.

    Сподіваємось, ця стаття допомогла вам у справі зі зловмисними програмами PureLocker. Якщо у вас є запитання, пропозиції чи щось додати, сміливо робіть це в розділі коментарів нижче.

    Відео YouTube: Що таке PureLocker

    05, 2024