Fjern Bad Rabbit virus (opdateret okt 2017) - Fjernelsesinstruktioner
Bad Rabbit virus fjernelsesguide
Hvad er Bad Rabbit ransomware virus?
BadRabbit ransomware – en ny arving til NotPetya/Petya.A?
BadRabbit virus fungerer som en ny krypto-malware, der har formået at forårsage ødelæggelse i Østeuropa. Den fungerer på samme måde som den berygtede Petya eller NotPetya ransomware, som ramte cyberspace for et par måneder siden. Selvom der er ligheder og IT-eksperter har mistanke om, at udvikleren kan være den samme, er kildekoden helt anderledes.
I øjeblikket er antallet af ofre estimeret til at at have overskredet 200. Det ser ud til, at udviklerne slet ikke bryder sig om Rusland og Ukraine, da disse to lande er mest berørte. Odessa International Airport i Ukraine og flere medievirksomheder i Rusland, herunder Interfax, Fontanka.ru et al., Er de primære mål. Desuden er angrebet også udvidet til nabolandene, f.eks. Tyrkiet og Bulgarien.
Drive-by-angreb leveret via falske Flash Player opdateringer
Adobes produkt Flash Player succes giver igen fordelene til malware-udviklere. Den største malware-dropper er forklædt i falske Flash-opdateringer. Malwaren er hentet som filen install_flash_player.exe fra beskadigede websteder. BadRabbit ransomware kan også forklæde sig med alternative filnavne.
Som VirusTotal Analaysis afslører, kan truslen ligge på lur i en bestemt “Uninstaller.” Heldigvis er infektionen allerede påviselig for de fleste sikkerhedsapplikationer. Malware udnytter visse sårbarheder i SMB-servere, hvilket forklarer, hvorfor den er i stand til at infiltrere servere.
Efter invasionen skaber Bad Rabbit ransomware C:\Windows\infpub.dat fil. Derefter genererer den følgende filer – C:\Windows\cscc.dat og C:\Windows\dispci.exe. De er ansvarlige for at ændre MBR-indstillinger. Interessant nok foreslår malwaren henvisninger til karaktererne i Game of Thrones-serien. BadRabbit malware opretter tre opgaver, der er opkaldt efter tre drager i serien:
- C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat,#1 15
- cmd.exe /c schtasks /Delete /F /TN rhaegal
- cmd.exe /c schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR
- cmd.exe /c schtasks /Create /SC once /TN drogon /RU SYSTEM /TR:00
- C:\Windows\AF93.tmp” \
Den gør også brug af open source-krypteringstjenesten kaldet DiskCryptor. Senere bruger den standard AE og RSA-2048 krypteringsmetode. Den er målrettet mod forskellige filformater. Som Petya.A tilføjer den ikke filforlængelser, men roder med indstillingerne for Master Boot Record (MBR).
Den genstarter systemet og viser samme løsesumsnote som NotPetya. Den leder også ofre til sit unikke betalingssted. Den informerer dem derefter kort om malwaren og kræver 0,05 BTC i løsepenge. Efter at have infiltreret systemet succesfuldt, bruger malwaren Mimikatz til at erhverve teknisk information om andre enheder, der er synlige på det samme netværk. BadRabbit virus fortsætter Petya's forseelser.
BadRabbit forebyggelsestips
Hvad angår det faktum, at krypto-malware forklæder sig under Flash Player og bryder ind i servere, ville nøgleforebyggelsesforanstaltningen være en øjeblikkelig installation af aktuelle opdateringer. Der er stadig lidt information om, hvilke særlige sårbarheder BadRabbit udnytter. Sørg for, at dine sikkerhedsværktøjer også opdateres. Det ville være bedre at downloade et par forskellige typer sikkerhedsprogrammer.
For eksempel vil FortectIntego eller Malwarebytes hjælpe dig med at identificere infektionen. Et sådant værktøj kan kun hjælpe dig med at udføre BadRabbit-fjernelsen. Nedenfor finder du instruktioner til, hvordan du gendanner adgangen til computeren. Derefter skal du kunne fjerne Bad Rabbit virus.
Eliminer BadRabbit crypto-malware
På grund af sine særlige driftsmetoder er det ikke overraskende, hvorfor malwaren kaldes den næste Petya. Hvis du er ramt af denne cyber-ulykke, skal du følge nedenstående instruktioner. Da ransomwaren ændrer MBR-indstillinger, kan du først starte computeren i sikker tilstand. Gennemfør MBR-nulstillingsinstruktionerne.
Herefter skal du genstarte computeren i sikker tilstand, genaktivere dine sikkerhedsapplikationer og fjerne BadRabbit-virus. Efter scanningen skal du starte computeren i normal tilstand og gentage proceduren. Dette vil bekræfte, at fjernelse af BadRabbit er afsluttet. Bemærk, at malware-eliminering ikke gendanner kodede filer. Prøv at genoprette dem fra sikkerhedskopier. Du finder nogle forslag nedenfor.
På Windows 7:
- Indsæt Windows 7 DVD'en.
- Start DVD'en.
- Vælg sprog og tastaturlayoutindstillinger. Vælg Næste.
- Vælg dit operativsystem, markér værktøjet Brug gendannelsesværktøj og klik på Næste.
- Vent til skærmen System Recovery Options vises, og vælg Kommandoprompt.
- Indtast følgende kommandoer, og klik på Enter efter hver enkelt:
- bootrec /rebuildbcd
- bootrec /fixmbr
- bootrec /fixboot
- Skub installationsdvd'en ud og genstart pc'en.
På Windows 8/10 systemer:
- Indsæt installationsdvd'en eller recovery USB.
- Vælg Reparér din computer valgmuligheden.
- Vælg Fejlfinding og vælg Kommandoprompt.
- Skriv de angivne kommandoer en efter en, og tryk på Enter efter hver af dem:
- bootrec /FixMbr
- bootrec /FixBoot
- bootrec /ScanOs
- bootrec /RebuildBcd
- Skub dvd'en eller genoprettelsesUSB'en ud.
- Indtast exit og tryk Enter.
- Genstart pc'en.
Manuel Bad Rabbit virus fjernelsesguide
Fjern Bad Rabbit ved hjælp af Safe Mode with Networking
-
Trin 1: Genstart din computer til Safe Mode with Networking
Windows 7 / Vista / XP- Klik Start → Shutdown → Restart → OK.
- Når computeren bliver aktivt, begynd at trykke på F8 gentagne gange, indtil du ser Advanced Boot Options vinduet.
- Vælg Safe Mode with Networking fra listen
Windows 10 / Windows 8- Tryk på Power knappen på Windows login-skærmen. Nu skal du trykke på og holde Shift, hvilket er på tastaturet, nede og klikke på Restart..
- Vælg nu Troubleshoot → Advanced options → Startup Settings og endelig, tryk på Restart.
- Når din computer bliver aktiv, så vælg Enable Safe Mode with Networking i Startup Settings vinduet
-
Trin 2: Fjerne Bad Rabbit
Log ind på din inficerede konto og start browseren. Hent FortectIntego eller et andet legitimt anti-spyware program. Opdater det før en fuld scanning, og fjern ondsindede filer, der hører til din ransomware og fuldfør Bad Rabbit fjernelse.
Hvis din ransomware blokerer Safe Mode with Networking, så prøv en anden metode.
Fjern Bad Rabbit ved hjælp af System Restore
Når du genvinder adgangen til opstartsindstillinger, skal du genstarte computeren i fejlsikret tilstand og starte BadRabbit-fjernelsen.
-
Trin 1: Genstart din computer til Safe Mode with Command Prompt
Windows 7 / Vista / XP- Klik Start → Shutdown → Restart → OK.
- Når computeren bliver aktivt, begynd at trykke på F8 gentagne gange, indtil du ser Advanced Boot Options vinduet.
- Vælg Command Prompt fra listen
Windows 10 / Windows 8- Tryk på Power knappen på Windows login-skærmen. Nu skal du trykke på og holde Shift, hvilket er på tastaturet, nede og klikke på Restart..
- Vælg nu Troubleshoot → Advanced options → Startup Settings og endelig, tryk på Restart.
- Når din computer bliver aktiv, så vælg Enable Safe Mode with Command Prompt i Startup Settings vinduet
-
Trin 2: Gendan dit systems filer og indstillinger
- Når Command Prompt vinduet kommer frem, så gå ind i cd restore og klik på Enter.
- Skriv nu rstrui.exe og tryk på Enter igen..
- Når et nyt vindue dukker op, skal du klikke på Next og vælge dit gendannelsespunkt, der ligger forud for infiltrationen fra Bad Rabbit. Efter at gøre det, skal du klikke på Next.
- Klik nu på Yes for at påbegynde systemgendannelsen.
Bonus: Gendan dine data
Guiden der præsenteres ovenfor skal hjælpe dig med at fjerne Bad Rabbit fra din computer. For at gendanne dine krypterede filer anbefaler vi, at bruge en detaljeret guide, der er forberedt af udenvirus.dk sikkerhedseksperterHvis dine filer er krypteret af Bad Rabbit, kan du benytte flere metoder til at gendanne dem:
Er Data Recovery Pro i stand til at afkode de filer, der er berørt af BadRabbit?
Programmet blev oprindeligt oprettet til genoprettelse af filer efter et systemnedbrud. På den anden side, hvis du ikke har sikkerhedskopier, kan denne software være en af de sidste løsninger.
- Download Data Recovery Pro;
- Følg trinene til Data Recovery Setup og installér programmet på din computer;
- Kør det og scan din computer for filer, der er krypteret af Bad Rabbit ransomware;
- Gendan dem.
Fordelene ved ShadowExplorer
Selvom Bad Rabbit ransomware er sofistikeret, er der ingen oplysninger om, hvorvidt den sletter Shadow Volume Copies i øjeblikket. Derfor kan du prøve dette program.
- Download Shadow Explorer (http://shadowexplorer.com/);
- Følg en Shadow Explorer Setup Wizard og installér denne applikation på din computer;
- Kør programmet og gennemgå drop-down menuen i det øverste venstre hjørne, for at vælge disken med dine krypterede data. Tjek hvilke mapper der er dér;
- Højreklik på den mappe di gerne vil gendanne og vælg “Export”. Du kan også vælge hvor du ønsker at den bliver gemt.
Endelig bør du altid tænke på beskyttelse mod krypto-ransomwares. For at beskytte din computer fra Bad Rabbit og andre ransomwares, bør du benytte en velrenommeret anti-spyware, såsom FortectIntego, SpyHunter 5Combo Cleaner eller Malwarebytes.