Fjern Bad Rabbit-virus (Veiledning for fjerning) - oppdateringer okt 2017
Bad Rabbit fjerningsguide for virus
Hva er Bad Rabbit ransomware-virus?
BadRabbit ransomware – en ny arvtaker etter NotPetya/Petya.A?
BadRabbit-viruset fungerer som en ny crypto-malware som allerede har klart å skape store ødeleggelser i Øst-Europa. Det fungerer på lik måte som det beryktede Petya eller NotPetya, som herjet på nettet for noen måneder siden. Selv om det finnes flere likheter og på tross av at dataeksperter mistenker at utvikleren kan være den samme, er kildekoden ganske ulik.
For øyeblikket sies det at antall ofre har oversteget 200. Det ser ut til at utviklerne misliker Russland og Ukraina, ettersom det er disse to landene som i størst grad har blitt påvirket. Odessa International Airport i Ukraina og flere medieselskaper i Russland, inkludert Interfax, Fontanka.ru og flere er hovedmålene. I tillegg har også angrepet utvidet seg til naboland, som Tyrkia og Bulgaria.
Angrep via falske Flash Player-oppdateringer
Adobe-produktet Flash Players suksess blir nok en gang utnyttet av malware-utviklere. Hjelpeprogrammet til malware-trusselen er skjult i falske Flash-oppdateringer. Malware-produktet blir lastet ned via filen install_flash_player.exe fra infiserte nettsider. BadRabbit ransomware kan også skjule seg bak andre filnavn.
VirusTotal-analyser avslører at viruset kan skjule seg i en viss «Uninstaller». Heldigvis er det slik at infeksjonen allerede kan oppdages av de fleste sikkerhetsprogrammer. Malware-programmet utnytter visse sårbarheter i SMB-servere, noe som forklarer hvordan det er i stand til å infiltrere servere.
Etter infiltreringen skaper Bar Rabbit filen C:\Windows\infpub.dat file. Deretter genereres følgende filer – C:\Windows\cscc.dat og C:\Windows\dispci.exe. Disse er ansvarlige for å endre MBR-innstillingene. Merkelig nok hinter malware-trusselen til figurer i serien Game of Thrones. BadRabbit skaper tre oppgaver som er navngitt etter tre drager i serien :
- C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat,#1 15
- cmd.exe /c schtasks /Delete /F /TN rhaegal
- cmd.exe /c schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR
- cmd.exe /c schtasks /Create /SC once /TN drogon /RU SYSTEM /TR:00
- C:\Windows\AF93.tmp» \
Det benytter seg også av krypteringstjenesten DiskCryptor. Senere benytter det standard AES og RSA-2048 kryptering. Det rettes mot mange ulike filformater. Akkurat som Petya.A legger det ikke til noen filendelse, men endrer derimot innstillingene i Master Boot Record (MBR).
Det starter systemet på nytt og viser den samme meldingen om løsesum som det NotPetya gjør. Det omdirigerer dessuten ofrene til en unik betalingsside. Det informerer dem kort om malware-infeksjonen og krever en løsesum på 0,05 BTC. Etter å ha infiltrert systemet, kjører malware-trusselen Mimikatz for å innhente teknisk informasjon om andre enheter som er synlige på samme nettverk . BadRabbit-viruset fortsetter ugjerningene til Petya.
Tips for å forhindre BadRabbit
Ettersom malware-trusselen skjuler seg under Flash Player og bryter seg inn i servere, er det viktigste mottiltaket å sørge for øyeblikkelig installasjon av gjeldende oppdateringer. Det er fremdeles lite informasjon om hvilke sårbarheter BadRabbit utnytter. Sørg for at sikkerhetsverktøyet ditt er oppdatert. Det er dessuten lurt å laste ned flere ulike sikkerhetsverktøy.
For eksempel kan FortectIntego eller Malwarebytes hjelpe deg med å identifisere infeksjonen. Slike verktøy kan dessuten hjelpe deg med å fjerne BadRabbit. Nedenfor finner du instruksjoner for hvordan du får tilgang til datamaskinen igjen. Deretter skal du kunne fjerne Bad Rabbit-viruset.
Eliminer BadRabbit crypto-malware
På grunn av de spesielle metodene det benytter, er det ikke overraskende at denne malware-trusselen kalles den neste Ptya. Hvis du har opplevd denne nettrusselen kan du følge instruksjonene nedenfor. Ettersom ransomware-viruset endrer MBR-innstillingene, vil du ikke kunne starte datamaskinen på nytt i sikkerhetsmodus. Du må implementere tilbakestillingsinstruksjonene i MBR først.
Deretter starter du datamaskinen på nytt i sikkerhetsmodus, reaktiverer sikkerhetsprogrammene dine og fjerner BadRabbit-viruset. Etter skanning starter du datamaskinen i normalmodus og gjentar prosessen. Du får bekreftelse på at fjerning av Bad Rabbit er fullført. Merk at fjerning av malware-trusselen ikke gjenoppretter krypterte filer. Du kan prøve å gjenopprette dem fra sikkerhetskopier. Du finner noen forslag nedenfor.
I Windows 7:
- Sett inn DVD-en med Windows 7.
- Kjør DVDen.
- Velg språk og tastaturspråk. Velg Next.
- Velg operativsystemet ditt, marker Use recovery tools og klikk på Neste.
- Vent til System Recovery Options-skjermen vises og velg Command Prompt.
- Angi følgende kommandoer og klikk på Enter etter hver kommando: bootrec /rebuildbcd, bootrec /fixmbr, andbootrec /fixboot.
- Ta ut DVD-en og start PC-en på nytt.
I Windows 8/10-systemer:
- Sett inn DVD-en eller USB-pinnen for installasjon.
- Velg alternativet Repair your computer.
- Velg Troubleshoot og deretter Command Prompt.
- Angi kommandoene som listes opp nedenfor og klikk på Enter etter hver kommando: bootrec /FixMbr, bootrec /FixBoot, bootrec /ScanOs, and bootrec /RebuildBcd.
- Ta ut DVD-en eller USB-pinnen.
- Skriv Exit og klikk på Enter.
- Start PC-en på nytt.
Manuell Bad Rabbit fjerningsguide for virus
Ransomware: manuell fjerning av ransomware i sikkerhetsmodus
Viktig! →
Manuell fjerning kan være for komplisert for vanlige databrukere. Det krever avansert IT-kunnskap å utføre det riktig (hvis viktige systemfiler blir fjernet eller skadet, kan det føre til uopprettelig skade på Windows-systemet). I tillegg kan det ta flere timer å utføre. Derfor anbefaler vi på det sterkeste at du bruker den automatiske metoden som beskrevet ovenfor.
Steg 1. Åpne sikkerhetsmodus med nettverkstilkobling
Manuell fjerning av malware bør utføres i sikkerhetsmodus.
Windows 7/Vista/XP
- Klikk på Start > På/Av > Start på nytt > OK.
- Når datamaskinen din starter opp, trykker du på F8-knappen (hvis dette ikke fungerer, prøv F2, F12, Del – det avhenger av hovedkortet ditt) flere ganger helt til du ser vinduet for avansert oppstart.
- Velg Sikkerhetsmodus med nettverkstilkobling fra listen.
Windows 10 / Windows 8
- Høyreklikk Start-knappen og velg Innstillinger.
- Bla nedover og velg Oppdatering og sikkerhet.
- I menyen til venstre velger du Gjenoppretting.
- Bla nedover til Avansert oppstart.
- Klikk på Start på nytt nå.
- Velg Feilsøking.
- Gå til Avanserte alternativer.
- Velg Oppstartsinnstillinger.
- Klikk på Start på nytt.
- Trykk 5 eller klikk på 5) Aktiver sikkerhetsmodus med nettverkstilkobling.
Steg 2. Slå av mistenkelige prosesser
Windows' oppgavebehandler er et nyttig verktøy som viser alle prosesser som kjører i bakgrunnen. Hvis det dukker opp malware-prosesser her, må de avsluttes:
- Trykk på Ctrl + Shift + Esc på tastaturet for å åpne oppgavebehandleren.
- Klikk på Detaljer.
- Bla nedover til Bakgrunnsprosesser og se etter mistenkelige oppføringer.
- Høyreklikk og velg Åpne filplassering.
- Gå tilbake til prosessen, høyreklikk og velg Avslutt oppgave.
- Slett innholdet i den ondsinnede mappen.
Steg 3. Sjekk oppstartsprogrammer
- Trykk Ctrl + Shift + Esc på tastaturet for å åpne Windows oppgavebehandler.
- Gå til fanen Oppstart.
- Høyreklikk det mistenkelige programmet og klikk på Deaktiver.
Steg 4. Slett virusfiler
Malware-relaterte filer kan dukke opp på flere ulike steder på datamaskinen din. Her er instruksjoner som kan hjelpe deg med å finne dem:
- Skriv Diskopprydding i Windows' søkefelt og trykk på Enter.
- Velg stasjonen du ønsker å rense (C: er som regel hovedstasjonen, og det er sannsynligvis her du finner ondsinnede filer).
- Bla gjennom Filer som skal slettes-listen og velg følgende:
Midlertidige Internett-filer
Nedlastinger
Papirkurv
Midlertidige filer - Velg Rydd opp i systemfiler.
- Du kan også se etter andre ondsinnede filer som skjuler seg i følgende mapper (angi disse oppføringene i Windows-søkefeltet og trykk på Enter):
%AppData%
%LocalAppData%
%ProgramData%
%WinDir%
Etter at du er ferdig, starter du PC-en på nytt i normalmodus.
Fjern Bad Rabbit ved hjelp av System Restore
Etter at du har fått tilgang til startinnstillingene dine igjen, starter du datamaskinen på nytt i sikkerhetsmodus. Deretter kan du starte fjerning av BadRabbit.
-
Steg 1: Start datamaskinen på nytt i Safe Mode with Command Prompt
Windows 7 / Vista / XP- Klikk Start → Shutdown → Restart → OK.
- Når datamaskinen blir aktiv, trykker du F8 gjentatte ganger helt til du ser Advanced Boot Options-vinduet.
- Velg Command Prompt fra listen
Windows 10 / Windows 8- Trykk Power-knappen i Windows innloggingsskjermen. Trykk og hold nede Shift, som er på tastaturet, og klikk Restart..
- Velg deretter Troubleshoot → Advanced options → Startup Settings og trykk Restart.
- Så snart datamaskinen din blir aktiv, velger du Enable Safe Mode with Command Prompt i Startup Settings-vinduet.
-
Steg 2: Gjenopprett systemfilene og innstillingene
- Så snart Command Prompt-vinduet dukker opp, angir du cd restore og klikker Enter.
- Skriv inn rstrui.exe og trykk Enter igjen..
- Når et nytt vindu dukker opp, klikker du Next og velger et gjennopprettingspunkt før infiltreringen av Bad Rabbit. Etter å ha gjort dette, klikker du på Next.
- Klikk Yes for å starte systemgjenoppretting.
Bonus: Gjenopprett dataene dine
Veiledningen som presenteres ovenfor er ment å hjelpe deg med å fjerne Bad Rabbit fra datamaskinen din. For å gjenopprette de krypterte filene anbefaler vi at du bruker en detaljert veiledning laget av sikkerhetsekspertene hos viruset.no.Hvis filene dine krypteres av Bad Rabbit kan du bruke flere ulike metoder for å gjenopprette dem:
Is Data Recovery Pro istand til å dekryptere filer som er infiserte av BadRabbit?
Programmet ble i utgangspunktet skapt for å gjenopprette filer etter systemkrasj. Hvis du ikke har sikkerhetskopier kan dette være siste utvei.
- Last ned Data Recovery Pro;
- Følg stegene i installasjonsveiledningen til Data Recovery og installer programmet på datamaskinen din;
- Kjør programmet og skann datamaskinen din etter filer kryptert av Bad Rabbit ransomware;
- Gjenopprett dem.
Fordelene med ShadowExplorer
Selv om ransomware-trusselen Bad Rabbit er avansert, finnes det ingen informasjon om hvorvidt det sletter skyggekopier. Derfor kan du prøve denne fremgangsmåten.
- Last ned Shadow Explorer (http://shadowexplorer.com/);
- Følg installasjonsveiledningen til Shadow Explorer og installer programmet på datamaskinen din;
- Kjør programmet og gå til nedtrekksmenyen i øvre venstre hjørne for å velge disken som inneholder de krypterte filene. Sjekk hvilke mapper det er;
- Høyreklikk på mappen du ønsker å gjenopprette og velg “Export”. Du kan også velge hvor du ønsker å lagre filene.
Til slutt bør du alltid tenke på beskyttelse mot crypto-ransomware. For å beskytte datamaskinen din mot Bad Rabbit og annet ransomware bør du benytte en vel ansett anti-spionvare, som FortectIntego, SpyHunter 5Combo Cleaner eller Malwarebytes.
Anbefalt for deg
Velg riktig nettleser og øk sikkerheten med et VPN-verktøy
Det blir stadig viktigere å beskytte personvernet sitt på nettet, blant annet for å unngå lekkasje av personopplysninger og phishing-svindel. Et av de viktigste tiltakene er å legge til et ekstra sikkerhetslag ved å velge den sikreste og mest private nettleseren. Selv om nettlesere ikke gir komplett beskyttelse og sikkerhet, er noen av dem mye bedre ved sandboxing, HTTPS-oppgradering, aktiv innholdsblokkering, blokkering av sporere, beskyttelse mot phishing og lignende personvernrelaterte funksjoner.
Det er også mulig å legge til et ekstra beskyttelseslag og skape en helt anonym nettleseropplevelse ved hjelp av et Private Internet Access VPN. Denne programvaren omdirigerer trafikken via ulike servere, slik at IP-adressen og din geografiske posisjon skjules. Disse tjenestene har dessuten strenge retningslinjer mot loggføring, noe som betyr at ingen data blir loggført, lekket eller delt med tredjeparter. Kombinasjonen av en sikker nettleser og et VPN gir deg muligheten til å surfe sikkert på nettet uten å bli spionert på eller hacket av nettkriminelle.
Sikkerhetskopier filer til senere, i tilfelle malware-angrep
Programvareproblemer skapt av malware eller direkte datatap på grunn av kryptering kan føre til problemer eller permanent skade på enheten din. Når du har oppdaterte sikkerhetskopier, kan du enkelt gjenopprette filene dine etter slike hendelser. Det er nødvendig å oppdatere sikkerhetskopiene dine etter eventuelle endringer på enheten. På denne måten kan du starte på nytt fra der du var da du mistet data på grunn av malware-angrep, problemer med enheten eller annet.
Når du har tidligere versjoner av alle viktige dokumenter eller prosjekter, kan du unngå mye frustrasjon og store problemer. Sikkerhetskopier er praktisk når malware dukker opp ut av det blå. Bruk Data Recovery Pro for å gjenopprette systemet ditt.