Computer >> Máy Tính >  >> Xử lý sự cố >> bảo trì máy tính

PureLocker là gì?

Năm 2019 chứng kiến ​​một số mối đe dọa ransomware làm tê liệt các máy tính cá nhân cũng như toàn bộ tổ chức. Một trong những loại ransomware nổi tiếng nhất là ransomware PureLocker. Nó là một phần mềm độc hại có khả năng tấn công cả các doanh nghiệp và máy chủ sản xuất dựa trên Windows và Linux.

PureLocker ransomware được gọi như vậy vì mã của nó được viết bằng ngôn ngữ lập trình PureBasic. Điều này mang lại cho nó một số lợi thế so với các họ ransomware khác. Đầu tiên, PureBasic không phổ biến như vậy, có nghĩa là nhiều giải pháp chống phần mềm độc hại không đáp ứng được nhiệm vụ khi đối phó với mối đe dọa mà nó gây ra. Nói cách khác, nhiều chương trình chống vi-rút bị hạn chế khi phát hiện chữ ký từ các mã nhị phân PureBasic.

Mặc dù mới lạ theo nhiều cách, nhưng ransomware PureLocker vẫn sử dụng một số mã từ các họ ransomware đã biết, chẳng hạn như họ ransomware “more_eggs”. More_eggs được bán dưới dạng phần mềm độc hại dưới dạng dịch vụ (MaaS) trên dark web, có nghĩa là các cuộc tấn công của PureLocker có liên quan đến các nhóm tội phạm thế giới ngầm như Cobalt Group và băng đảng FIN6.

Phần mềm độc hại PureLocker làm gì

Chúng tôi đã xác định rằng phần mềm ransomware PureLocker hơi khác so với các phần mềm độc hại khác, nhưng nó hoạt động chính xác như thế nào? Ransomware được biết là trốn tránh API chế độ người dùng móc các chức năng NTDLL bằng cách tải một bản sao của “ntdll.dll” và phân giải các địa chỉ API từ đó. Thủ đoạn trốn tránh này khiến các chương trình chống vi-rút khó chống lại phần mềm độc hại vì API hooking là những gì chương trình chống vi-rút sử dụng để xem các chức năng chính xác được gọi bởi phần mềm độc hại hoặc bất kỳ phần mềm nào khác cho vấn đề đó.

Phần mềm độc hại cũng đưa ra hướng dẫn để cài đặt các thành phần PureLocker vào một tiện ích dòng lệnh trong Windows có tên là regrsrv32.exe. Nó thực hiện điều này mà không đưa ra bất kỳ cuộc đối thoại nào. Sau khi thực thi bởi regrsrv32.exe, phần mềm độc hại xác minh năm và xác nhận phần mở rộng tệp của nó là .DLL hoặc .OCX. Nó cũng xác nhận xem người dùng máy tính có quyền quản trị viên hay không. Nếu bất kỳ xác minh nào trong số này không thành công, phần mềm độc hại sẽ lặng lẽ thoát ra khỏi máy tính bị nhiễm như chưa có gì xảy ra, nhưng nếu mọi thứ đều ổn thì các tệp máy tính của mục tiêu sẽ được mã hóa bằng tổ hợp mã hóa AES + RSA tiêu chuẩn. Một phần mở rộng .CRI được thêm vào cho mọi tệp được mã hóa. Tệp bóng hoặc bản sao lưu Windows sẽ bị xóa trong quá trình lây nhiễm nên bạn không có cách nào khôi phục tệp của mình.

Điều bất thường cuối cùng về phần mềm tống tiền PureLocker là thay vì hiển thị tệp readme.txt cho người dùng biết nơi gửi tiền chuộc, nó phát hành một địa chỉ email ẩn danh và được mã hóa để liên kết những kẻ tấn công với nạn nhân. Nếu họ đi đến thỏa thuận, một đề nghị giải mã các tệp sẽ được đưa ra.

Cách xóa phần mềm ransomware PureLocker khỏi máy tính của bạn

PureLocker là một phần mềm độc hại duy nhất theo nhiều cách và nó có thể ẩn trên máy tính mà không bị phát hiện trong một thời gian dài. Vì vậy, các tùy chọn xóa phần mềm độc hại bị giới hạn ở một số ít. Nhưng dù tuyệt vọng đến đâu, bạn cũng đừng bao giờ tính đến chuyện trả tiền chuộc cho những tên tội phạm đứng sau phần mềm độc hại. Thứ nhất, nó sẽ chỉ khiến bạn trở thành mục tiêu vào lần tới vì sự sẵn sàng trả tiền của bạn là điều duy nhất khiến tội phạm mạng có động cơ. Ngoài ra, bạn nên xem xét khả năng những người tạo phần mềm độc hại sẽ không thực hiện lời hứa của họ là giải mã các tệp của bạn khi nhận được tiền chuộc bởi vì hãy nghĩ về điều đó, điều gì có thể xảy ra nếu họ không thực hiện thỏa thuận của mình? Đáng buồn thay, không có gì.

Vì vậy, bạn có thể làm gì để giải phóng máy tính của mình khỏi phần mềm tống tiền PureLocker nếu trả tiền chuộc không phải là một lựa chọn? Chúng tôi khuyên bạn nên chạy máy tính của mình ở Chế độ An toàn với Kết nối mạng. Điều này sẽ cung cấp cho bạn quyền truy cập vào tài nguyên mạng mà sau đó bạn có thể sử dụng để tải xuống giải pháp chống phần mềm độc hại mạnh mẽ như Outbyte Antivirus .

Phần mềm diệt vi-rút sẽ loại bỏ phần mềm ransomware PureLocker và tất cả các thành phần độc hại của nó.

Để khởi động vào Chế độ An toàn với Mạng trên Windows 7 / Vista hoặc Windows XP, hãy thực hiện theo các bước sau:

  1. Đi tới Bắt đầu> Tắt máy> Khởi động lại> OK.
  2. Khi máy tính của bạn khởi động lại, nhấn F8 nhiều lần cho đến Tùy chọn khởi động nâng cao menu xuất hiện.
  3. Chọn Chế độ An toàn với Mạng bằng cách nhấn F5 chìa khóa.

Chế độ An toàn với Mạng trên Windows 8 và 10:

  1. Giữ nút nguồn trong khoảng 10 giây để tắt máy tính của bạn.
  2. Nhấn lại nút nguồn, lần này để bật thiết bị.
  3. Thực hiện các bước trên nhiều lần cho đến khi thiết bị của bạn vào Môi trường khôi phục Windows (winRE).
  4. Trên Chọn một tùy chọn màn hình xuất hiện, chọn Khắc phục sự cố> Tùy chọn nâng cao> Cài đặt khởi động> Khởi động lại.
  5. Sau khi máy tính của bạn khởi động lại, bạn sẽ thấy một danh sách các tùy chọn. Sử dụng các phím mũi tên để chọn Chế độ an toàn với mạng .

Nếu tùy chọn Chế độ an toàn với mạng không loại bỏ được phần mềm tống tiền PureLocker, thì bạn có thể lặp lại các bước trên. Nhưng lần này, thay vì chọn Cài đặt khởi động, chọn Khôi phục hệ thống.

Khôi phục Hệ thống là một quá trình khôi phục Windows cho phép bạn hoàn nguyên các thay đổi đối với cài đặt và ứng dụng trên máy tính của mình. Bạn có thể sử dụng nó để xóa các ứng dụng và phần mềm có vấn đề.

Nếu phần mềm độc hại PureLocker đã tấn công máy Mac của bạn, bạn có thể sử dụng Cỗ máy thời gian để khôi phục một số tệp, cài đặt và ứng dụng của mình. Nhưng cũng giống như trường hợp của Khôi phục hệ thống, bản sao lưu Cỗ máy thời gian phải có sẵn trước khi có bất kỳ sự lây nhiễm nào.

Nếu vẫn thất bại và điều này cũng áp dụng cho máy Mac của bạn, hãy xem xét cài đặt phiên bản mới của hệ điều hành.

Bảo vệ máy tính của bạn khỏi bị lây nhiễm phải là nhiệm vụ quan trọng nhất mà bạn thực hiện. Dưới đây là một số mẹo để ngăn phần mềm độc hại như PureLocker lây nhiễm vào tổ chức của bạn.

Cập nhật tất cả hệ thống của bạn

Thật không may là một số tổ chức vẫn chạy các phiên bản Windows cũ như Windows XP không còn nhận được bất kỳ sự bảo vệ chính thức nào từ Microsoft. Windows XP đã từng là một sản phẩm tuyệt vời, nhưng thế giới đã thay đổi và gắn bó với nó chỉ làm tăng khả năng một trong nhiều lỗ hổng bảo mật của nó sẽ được sử dụng để chống lại bạn.

Cài đặt phần mềm chống phần mềm độc hại

Bạn có giải pháp chống phần mềm độc hại cao cấp trên máy tính của mình không? Nếu không, bạn nên có một cái và trong khi sử dụng, bạn cũng nên cân nhắc cài đặt một công cụ sửa chữa PC, chẳng hạn như Outbyte PC Repair . Công cụ này sẽ liên tục quét tình trạng của PC của bạn. Nó cũng sẽ làm sạch không gian lưu trữ của bạn, giúp sửa chữa các mục đăng ký bị hỏng hoặc bị hỏng và tối ưu hóa hiệu suất của RAM.

Tạo bản sao lưu các tệp của bạn

Bạn nên có một đĩa vật lý để lưu trữ một số tệp quan trọng nhất của mình trong trường hợp có bất ngờ khó chịu chẳng hạn như phần mềm độc hại PureLocker tấn công hệ thống của bạn. Nếu không có mối đe dọa mất tệp của bạn, cuộc tấn công ransomware sẽ giống như mọi ngày trong văn phòng.

Hy vọng rằng, bài viết này đã giúp ích cho bạn về vấn đề đối phó với phần mềm độc hại PureLocker. Nếu bạn có bất kỳ câu hỏi, đề xuất hoặc điều gì cần bổ sung, vui lòng thực hiện trong phần bình luận bên dưới.