Het Bad Rabbit ransomware virus speelt geen spelletjes en er werd een massieve globale aanval gedetecteerd op 24 oktober 2017. De situatie lijkt erg op deze tijdens WannaCry en NotPetya infectie crisis. Bad Rabbit is geen volledige ransomware dreiging omdat het eigenschappen bevat van een nieuwe, verbeterde versie van Petya. Zoals je misschien reeds weet, werd NotPetya gedefinieerd als een schijf codeerder of een viper met andere woorden. De Bad Rabbit malware komt op besturingssystemen toe als een install_flash_player.exe bestand. Ook plaats het de infpub.dat, rundll32.exe bestanden op de C schijf.
De voornaamste symptomen van de Bad Rabbit ransomware, referenties naar Game of Thrones en AES-bestand versleuteling
Ransomware is erin geslaagd computers van gebruikers in Oost-Europa te infiltreren. Dit omvat, eens te meer, Oekraïne, samen met regio’s in Rusland, Bulgarije, Polen, de Verenigde Staten, Zuid-Korea en Turkije. Organisaties en bedrijven moeten zich momenteel focussen op cyberveiligheid, omdat de massieve aanval van het Bad Rabbit virus zich nog intensiever kan beginnen verspreiden. Het Oekraïense Ministerie van Infrastructuur, het metro systeem en de Odessa luchthaven werden het slachtoffer van deze infectie. Sommige bedrijven in Rusland maakten ook melding van vrij kritieke situaties vanwege de Bad Rabbit malware (New ransomware attack hits Russia and spreads around globe).
De Bad Rabbit dreiging kiest ervoor niet enkel te werken als een schijf codeerder, maar versleuteld ook de bestanden op apparaten van slachtoffers. Het lijkt erop dat een AES-algoritme geselecteerd werd voor dit versleutelingsproces. Om het nog wat ingewikkelder te maken wordt de gegenereerde decoderingssleutel ook nog eens versleuteld met een RSA-2048 code, wat een populaire strategie is voor ransomware infecties (Bad Rabbit Ransomware Strikes Russia and Ukraine).
Je kan verrast zijn dat de infectie geen originele extensie toevoegt aan de beschadigde uitvoeringsbestanden. In tegenstelling tot dit, zal het een bestandsmarkering string “versleuteld” aanbrengen aan het einde van elk beschadigt bestand. Een ander belangrijk aspect van deze ransomware is dat het in staat zal zijn te verbinden met een remote delen netwerk. Dit betekent dat de infectie getransfereerd kan worden van het ene naar het andere apparaat. Oorspronkelijk is het beginpunt een Russische site genaamd argumentiru.com. Herinner jezelf dat, in het geval van NotPetya, de infectie verspreid werd vanop M.E.Doc servers.
Er wordt aangenomen dat het Bad Rabbit crypto-virus ontworpen werd door geobsedeerde fans van Game of Thrones. Tijdens de technische informatie van de ransomware, vonden onderzoekers referenties naar de populaire Tv-serie, bijvoorbeeld, een trio van geplande taken zijn genoemd naar de beroemde draken, Viserion, Rhaegal en Drogon.
Het Bad Rabbit virus wordt geleverd via een methode van drive-by download, meer specifiek, nep Adobe Flash Player updates. Sommige frequent bezochte domeinen, warden gehackt opdat cybercriminelen in staat zouden zijn om kwaadaardige JavaScripts in hun HTML lichaam of in hun .js bestand te injecteren (Bad Rabbit: Not-Petya is back with improved ransomware). Dus van zodra een gebruiker een gecompromitteerd domein bezoekt, zal hij of zij aangeboden worden om een Flash Player update te installeren. Nadat je hier mee akkoord gaat, blijkt een bestand van Ldnscontrol.com echter een Win32/FileCoder.D te zijn.
De Bad Rabbit schijf codeerder steelt ook je gegevens door te werken als een spyware. Zodra het alles ingesteld heeft dat het nodig heeft, samen met de aanpassingen aan het Master Boot Record (MBR), zal je computer niet meer volledig kunnen opstarten. Je zal hetzelfde bericht te zien krijgen als tijdens de NotPetya aanval. Het is echter voor discussie vatbaar of dezelfde mensen achter de Bad Rabbit malware zitten of niet. Terwijl ze gelijkenissen bevatten, zijn e rook veel verschillen, en wordt er enkel 13% van de NotPetya codes herbruikt.
Deze nieuw gedetecteerde Bad Rabbit malware nachtmerrie vereist ook het bezoeken van een website via TOR. Het Caforssztxqzf2nm.onion domein zal je een tekst bericht tonen, dat erop aandringt dat je, je persoonlijke sleutel ingeeft in het onderstaande vak. Daarna, als de sleutel herkend wordt, krijg je meer details te zien over de manier waarop het losgeld moet worden betaald. 0.05 BTC wordt aangegeven als het gevraagde losgeld, wat ongeveer 274.87 USD is. Dit is echter niet de eind som: nadat je 40 uur weigerde te betalen, zal het bedrag omhooggaan. Desalniettemin, moedigen we je aan niet te betalen!
Distributietechnieken gebruikt door het Bad Rabbit virus
We hebben reeds aangegeven dat de infectie zich verspreid via nep Adobe Flash Player updates. Ze worden gepresenteerd op legitieme sites die gecompromitteerd werden door kwaadaardige JavaScripts. Als een willekeurig domein je aanmoedigt om een update te installeren, weiger dit dan omdat je het slachtoffer kan worden van een verschrikkelijke infectie zoals de Bad Rabbit ransomware. Het is ook mogelijk dat het virus zich verspreid van de ene naar de andere computer.
Is het mogelijk om bestanden te herstellen die beschadigd werden door de Bad Rabbit crypto-malware?
Het is nog te vroeg om te spreken over mogelijke decoderingstools voor de geruïneerde data. Ten eerste, onderzoekers moeten eerst een grondige analyse maken en te weten komen of dit tot de mogelijkheden behoort of niet. Volg onze raad en maak een back-up van al je bestanden die je niet graag kwijtspeelt. Als je, je bestanden op verschillende locaties hebt, mag ransomware geen probleem vormen.
Bij het verwijderen moeten mensen echter voorzichtig zijn. Hoewel de aanvaller zijn server niet meer actief is, kan de infectie nog gaan voor een volgende distributie ronde. Denk eraan blijf veilig en zorg voor een betrouwbare anti-malware op je apparaat. Dit omvat softwaretoepassingen zoals Reimage.
Een remedie werd gevonden!
Amit Serper heeft aangekondigd dat er een remedie gevonden werd voor dit terroriserend cybervirus. Volg deze stappen om veilig te zijn voor het Bad Rabbit ransomware virus:
- Creëer infpub.dat en cscc.dat bestanden in C:Windows.
- Daarna, verwijder je alle toelatingen (erfenis).
- Dan zou je beveiligd moeten zijn tegen deze infectie.
Update van 27 oktober: Op deze dag, hebben beveiligingsonderzoekers vastgesteld dat de Bad Rabbit infectie een gemodificeerde versie van de NSA exploit gebruikt om zijn distributie te versnellen. Vanwege verschillen met de oorspronkelijke exploit, waren beveiligingsonderzoekers eerst niet in staat om het te vinden.
Update van 30 oktober: Onderzoekers van Kaspersky deden een geweldige ontdekking: fouten in de werking van de Bad Rabbit ransomware (Decryption opportunity assessment). Dankzij deze wijziging in de situatie, kunnen sommige slachtoffers in staat zijn hun data te decoderen. Een van de schokkende fouten is het feit dat het Bad Rabbit virus geen commando opstart om alle Shadow Volume Copies te verwijderen. Dit is eerder onverwacht, daar zelfs basis HiddenTear staaltjes, dit commando kunnen uitvoeren. Echter goed nieuws voor de slachtoffers: zij zijn misschien in staat om tenminste een deel van hun versleutelde digitale data te herstellen.
Daarnaast, hebben onderzoekers van Kaspersky ook ontdekt hebben dat een fout zit in de code van dispci.exe: de ransomware verwijdert het gegenereerde wachtwoord niet uit het geheugen. Beveiligingsonderzoekers discussiëren echter of dit zak werken van echte slachtoffers van het Bad Rabbit virus.
Bad Rabbit Virus snelkoppelingen
- De voornaamste symptomen van de Bad Rabbit ransomware, referenties naar Game of Thrones en AES-bestand versleuteling
- Distributietechnieken gebruikt door het Bad Rabbit virus
- Is het mogelijk om bestanden te herstellen die beschadigd werden door de Bad Rabbit crypto-malware?
- Een remedie werd gevonden!
- Automatische tools Malware verwijderen
- Hoe Bad Rabbit virus verwijderen via het Systeemherstel?
- 1. Herstart je computer in Veilige Modus met Opdracht Prompt
- 2. Complete verwijdering van Bad Rabbit virus
- 3. Herstel door Bad Rabbit virus aangetaste bestanden met “Shadow Volume Copies”
Automatische tools Malware verwijderen
(Win)
Opmerking: Spyhunter proef levert detectie van parasieten zoals Bad Rabbit Virus en helpt bijde verwijdering ervan gratis. beperkte proefversie beschikbaar, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Opmerking: Combo Cleaner proef levert detectie van parasieten zoals Bad Rabbit Virus en helpt bijde verwijdering ervan gratis. beperkte proefversie beschikbaar,
Hoe Bad Rabbit virus verwijderen via het Systeemherstel?
1. Herstart je computer in Veilige Modus met Opdracht Prompt
voor Windows 7 / Vista/ XP
- Start → Afsluiten → Herstarten → OK.
- Druk herhaaldelijk op de F8 toets tot het Geavanceerde Boot Opties venster verschijnt.
- Kies Veilige Modus met Opdracht Prompt.
voor Windows 8 / 10
- Druk op Aan/Uit op Windows aanmeldscherm. Druk dan op de Shift toets en hou hem ingedrukt en klik op Herstarten.
- Kies probleemoplossing → Geavanceerde Opties → Opstart instellingen en klik op herstarten.
- Terwijl het laadt, selecteer Veilige Modus met Opdracht Prompt inschakelen uit de lijst van Opstart Instellingen.
Systeembestanden en instellingen herstellen.
- Als de Opdracht Prompt modus laadt, geef je cd herstel in en druk op Enter.
- Geef dan rstrui.exe in en druk opnieuw op Enter.
- Klik op “Volgende” in het venster dat verscheen.
- Selecteer één van de Herstelpunten die beschikbaar zijn voor dat Bad Rabbit virus je systeem geïnfiltreerd heeft en klik dan op “Volgende”.
- Om het Systeemherstel te starten klik je op “Ja”.
2. Complete verwijdering van Bad Rabbit virus
Na het herstellen van je systeem, is het aangeraden om je computer te scannen met een anti-malware programma, zoals Spyhunter en verwijder alle kwaadaardige bestanden die gerelateerd zijn aan Bad Rabbit virus.
3. Herstel door Bad Rabbit virus aangetaste bestanden met “Shadow Volume Copies”
Als je de Systeemherstelfunctie niet gebruikt, kan shadow copy momentopnamen gebruiken. Deze bewaren kopieën van je bestanden op het tijdstip dat de systeemherstel momentopname aangemaakt werd. Meestal probeert Bad Rabbit virus om alle Shadow Volume Copies te verwijderen, dus het kan zijn dat deze methode niet op alle computers werkt.
Shadow Volume Copies zijn enkel beschikbaar voor Windows XP Service Pack 2, Windows Vista, Windows 7, en Windows 8. Er zijn twee manieren om je bestanden te herstellen via Shadow Volume Copy. JE kan dit doen via ‘native Windows Previous Versions’ of via Shadow Explorer.
a) Native Windows Previous VersionsRechtermuisklik op een gecodeerd bestand en selecteer Eigenschappen>Vorige versies tab. Nu zal je alle beschikbare kopieën van dat specifiek bestand en het tijdstip wanneer het opgeslagen werd in een Shadow Volume Copy. Kies de versie van het bestand dat je wil herstellen en klik op Copy als je het in dezelfde map als die van jou wil bewaren, of Herstellen als je het bestaande, gecodeerde bestand wilt. Als je eerst de inhoud van het bestand wilt zien, klik dan gewoon op openen.
Het is een gratis programma dat je online kan vinden. Je kan ofwel de volledige of de draagbare versie van Shadow Explorer downloaden. Open het programma. Selecteer in de linker bovenhoek de schijf waar het bestand waar je naar opzoek bent bewaard werd. Je zal alle mappen op die schijf te zien krijgen. Om een volledige map op te halen, rechtermusiklik er op en selecteer “Exporten”. Kies dan de locatie waar je het wilt bewaren.
Opmerking: In veel gevallen is het onmogelijk om de bestanden die aangetast werden door moderne ransomware te herstellen. Daarom raad ik aan om een degelijke cloud back-up software te gebruiken uit voorzorg. We raden je aan om Carbonite, BackBlaze, CrashPlan of Mozy Home eens te bekijken.