Что такое PureLocker (05.19.24)

В 2019 году был зафиксирован ряд угроз со стороны программ-вымогателей, нанесших ущерб как отдельным компьютерам, так и целым организациям. Одним из таких программ-вымогателей, попавших в заголовки газет, является программа-вымогатель PureLocker. Это вредоносная программа, способная атаковать производственные серверы и предприятия под управлением Windows и Linux.

Программа-вымогатель PureLocker называется так потому, что ее код написан на языке программирования PureBasic. Это дает ему несколько преимуществ перед другими семействами программ-вымогателей. Во-первых, PureBasic не так уж и распространен, а это означает, что многие решения для защиты от вредоносных программ не справляются с задачей, когда дело доходит до борьбы с угрозой, которую они представляют. Другими словами, многие антивирусные программы ограничены в обнаружении сигнатур из двоичных файлов PureBasic.

Несмотря на то, что программа-вымогатель PureLocker во многих отношениях нова, она по-прежнему использует некоторый код из известных семейств программ-вымогателей, таких как семейство программ-вымогателей more_eggs. More_eggs продается в даркнете как вредоносное ПО как услуга (MaaS), а это означает, что атаки PureLocker связаны с преступными группировками, такими как Cobalt Group и FIN6.

Что такое вредоносное ПО PureLocker.

Мы уже установили, что программа-вымогатель PureLocker немного отличается от других вредоносных программ, но как именно она работает? Известно, что программа-вымогатель уклоняется от перехвата функций NTDLL в API пользовательского режима, загружая копию «ntdll.dll» и разрешая оттуда адреса API. Этот трюк с уклонением затрудняет противодействие антивирусным программам вредоносным программам, поскольку перехват API - это то, что используют антивирусные программы для определения точных функций, которые вызываются вредоносным ПО или любым другим программным обеспечением, если на то пошло.

Вредоносная программа также выдает инструкции по установке компонентов PureLocker в служебную программу командной строки в Windows, которая называется regrsrv32.exe. Это делается без каких-либо диалогов. После запуска regrsrv32.exe вредоносная программа проверяет год, и это подтверждает расширение файла как .DLL или .OCX. Он также подтверждает, есть ли у пользователя компьютера права администратора. Если какая-либо из этих проверок не удалась, вредоносная программа незаметно покинет зараженный компьютер, как будто ничего не произошло, но если окажется, что все в порядке, файлы целевого компьютера будут зашифрованы с помощью стандартной комбинации шифрования AES + RSA. Расширение .CRI добавляется к каждому зашифрованному файлу. Теневые файлы или резервные копии Windows удаляются в процессе заражения, поэтому у вас нет возможности восстановить свои файлы.

Последней необычной особенностью программы-вымогателя PureLocker является то, что вместо отображения файла readme.txt, сообщающего пользователям, куда отправить выкуп, он выдает анонимный и зашифрованный адрес электронной почты, который связывает злоумышленников с жертвами. Если они придут к соглашению, будет сделано предложение расшифровать файлы.

Как удалить программу-вымогатель PureLocker с вашего компьютера

PureLocker - это уникальное вредоносное ПО во многих отношениях, и оно может оставаться скрытым на компьютере без обнаружения в течение очень долгого времени. Итак, варианты удаления вредоносного ПО ограничены несколькими. Но как бы вы ни были в отчаянии, вам никогда не следует думать о выкупе преступников, стоящих за вредоносным ПО. Во-первых, в следующий раз это только сделает вас мишенью, поскольку ваша готовность платить - единственное, что поддерживает киберпреступников. Кроме того, вы должны учитывать возможность того, что создатели вредоносных программ не будут выполнять свое обещание расшифровать ваши файлы после получения выкупа, потому что подумайте об этом, что может случиться, если они не выполнят свою часть сделки? К сожалению, ничего.

Итак, что вы можете сделать, чтобы освободить свой компьютер от программы-вымогателя PureLocker, если выкуп не возможен? Мы предлагаем вам запустить свой компьютер в безопасном режиме с загрузкой сетевых драйверов. Это даст вам доступ к сетевым reimgs, которые впоследствии можно будет использовать для загрузки мощного антивирусного решения, такого как Outbyte Antivirus .

Антивирус удалит вымогатель PureLocker и все его вредоносные программы. компоненты.

Чтобы загрузиться в безопасном режиме с загрузкой сетевых драйверов в Windows 7 / Vista или Windows XP, выполните следующие действия:

  • Перейдите в Пуск & gt; Завершение работы & gt; Перезагрузить & gt; ОК.
  • После перезагрузки компьютера нажмите F8 несколько раз, пока не появится меню Дополнительные параметры загрузки .
  • Выберите Безопасный режим с подключением к сети , нажав клавишу F5 .

    • Безопасный режим с подключением к сети в Windows 8 и 10:

  • Удерживайте кнопку питания около 10 секунд, чтобы выключить компьютер.
  • Нажмите кнопку питания еще раз, на этот раз, чтобы включить устройство.
  • Повторяйте описанные выше действия, пока ваши устройства не войдут в среду восстановления Windows (winRE).
  • На открывшемся экране Выберите вариант выберите Устранение неполадок & gt; Дополнительные параметры & gt; Параметры запуска & gt; Перезагрузите.
  • После перезагрузки компьютера вы увидите список параметров. С помощью клавиш со стрелками выберите Безопасный режим с подключением к сети .

    • Если с помощью параметра «Безопасный режим с подключением к сети» не удалось удалить программу-вымогатель PureLocker, вы можете повторить описанные выше действия. Но на этот раз вместо выбора Параметры запуска выберите Восстановление системы

    Восстановление системы - это процесс восстановления Windows, который позволяет отменить изменения в настройках. и приложения на вашем компьютере. Вы можете использовать его для удаления проблемных приложений и программного обеспечения.

    Если вредоносная программа PureLocker поразила ваш Mac, вы можете использовать Time Machine для восстановления некоторых файлов, настроек и приложений. Но, как и в случае с функцией восстановления системы, резервная копия Time Machine должна быть доступна до заражения.

    Если ничего не помогает, и это относится и к вашему Mac, подумайте об установке новой версии ОС.

    Защита вашего компьютера от заражения должна быть самой важной задачей, которую вы берете на себя. Вот несколько советов, как предотвратить заражение вашей организации вредоносными программами, такими как PureLocker.

    Обновите все свои системы

    К сожалению, некоторые организации все еще используют старые версии Windows, такие как Windows XP, которые больше не получают официальных защита от Microsoft. Windows XP когда-то была отличным продуктом, но с тех пор мир изменился, и ее использование только увеличивает шансы на то, что одна из ее многочисленных уязвимостей будет использована против вас.

    Установите антивирусное ПО.

    Есть ли на вашем компьютере антивирусное решение премиум-класса? Если нет, то он у вас должен быть, и, пока вы используете его, вам также следует подумать об установке инструмента для восстановления ПК, такого как Outbyte PC Repair . Этот инструмент будет постоянно проверять состояние вашего ПК. Он также очистит ваши дисковые пространства, поможет восстановить сломанные или поврежденные записи реестра и оптимизирует производительность ОЗУ.

    Создайте резервную копию ваших файлов

    У вас должен быть физический диск, на котором вы храните некоторые из ваших самых важные файлы на случай неприятного сюрприза, такого как вредоносная программа PureLocker, поражающая вашу систему. Без угрозы потери ваших файлов атака программ-вымогателей будет похожа на обычные дни в офисе.

    Надеюсь, эта статья помогла вам в борьбе с вредоносным ПО PureLocker. Если у вас есть какие-либо вопросы, предложения или что-то добавить, не стесняйтесь делать это в разделе комментариев ниже.

    YouTube видео: Что такое PureLocker

    05, 2024