PureLocker là gì (05.19.24)

Năm 2019 chứng kiến ​​một số mối đe dọa ransomware làm tê liệt các máy tính cá nhân cũng như toàn bộ tổ chức. Một trong những loại ransomware nổi tiếng là ransomware PureLocker. Nó là một phần mềm độc hại có khả năng tấn công cả các doanh nghiệp và máy chủ sản xuất dựa trên Windows và Linux.

Phần mềm ransomware PureLocker được gọi như vậy vì mã của nó được viết bằng ngôn ngữ lập trình PureBasic. Điều này mang lại cho nó một số lợi thế so với các họ ransomware khác. Đầu tiên, PureBasic không phải là tất cả những gì phổ biến, có nghĩa là nhiều giải pháp chống phần mềm độc hại không đáp ứng được nhiệm vụ khi đối phó với mối đe dọa mà nó gây ra. Nói cách khác, nhiều chương trình chống vi-rút bị hạn chế khi phát hiện chữ ký từ các mã nhị phân PureBasic.

Mặc dù mới lạ theo nhiều cách, phần mềm ransomware PureLocker vẫn sử dụng một số mã từ các họ ransomware đã biết, chẳng hạn như họ ransomware “more_eggs”. More_eggs được bán dưới dạng phần mềm độc hại dưới dạng dịch vụ (MaaS) trên dark web, có nghĩa là các cuộc tấn công của PureLocker có liên quan đến các nhóm tội phạm thế giới ngầm như Cobalt Group và băng đảng FIN6.

Phần mềm độc hại PureLocker là gì

Chúng tôi đã xác định rằng phần mềm ransomware PureLocker hơi khác so với các phần mềm độc hại khác, nhưng nó hoạt động chính xác như thế nào? Phần mềm ransomware được biết là trốn tránh API chế độ người dùng móc các chức năng NTDLL bằng cách tải bản sao của “ntdll.dll” và phân giải các địa chỉ API từ đó. Thủ đoạn trốn tránh này khiến các chương trình chống vi-rút khó chống lại phần mềm độc hại vì API móc nối là thứ mà chương trình chống vi-rút sử dụng để xem các chức năng chính xác mà phần mềm độc hại hoặc bất kỳ phần mềm nào khác gọi cho vấn đề đó.

Phần mềm độc hại cũng đưa ra hướng dẫn để cài đặt các thành phần PureLocker vào tiện ích dòng lệnh trong Windows có tên là regrsrv32.exe. Nó thực hiện điều này mà không đưa ra bất kỳ cuộc đối thoại nào. Sau khi thực thi bởi regrsrv32.exe, phần mềm độc hại xác minh năm và xác nhận phần mở rộng tệp của nó là .DLL hoặc .OCX. Nó cũng xác nhận xem người dùng máy tính có quyền quản trị viên hay không. Nếu bất kỳ quá trình xác minh nào trong số này không thành công, phần mềm độc hại sẽ lặng lẽ thoát khỏi máy tính bị nhiễm như thể không có gì xảy ra, nhưng nếu mọi thứ đều ổn thì các tệp máy tính của mục tiêu sẽ được mã hóa bằng tổ hợp mã hóa AES + RSA tiêu chuẩn. Một phần mở rộng .CRI được thêm vào cho mọi tệp được mã hóa. Tệp bóng hoặc bản sao lưu Windows sẽ bị xóa trong quá trình lây nhiễm nên bạn không có cách nào khôi phục tệp của mình.

Điều bất thường cuối cùng về phần mềm tống tiền PureLocker là thay vì hiển thị readme.txt cho người dùng biết nơi gửi tiền chuộc, nó phát hành một địa chỉ email ẩn danh và được mã hóa để liên kết những kẻ tấn công với nạn nhân. Nếu họ đi đến thỏa thuận, một lời đề nghị giải mã các tệp sẽ được đưa ra.

Cách xóa phần mềm ransomware PureLocker khỏi máy tính của bạn

PureLocker là một phần mềm độc hại duy nhất theo nhiều cách và nó có thể ẩn trên máy tính mà không bị phát hiện trong một thời gian dài. Vì vậy, các tùy chọn xóa phần mềm độc hại bị giới hạn ở một số ít. Nhưng dù tuyệt vọng đến đâu, bạn cũng đừng bao giờ tính đến chuyện trả tiền chuộc cho những tên tội phạm đứng sau phần mềm độc hại. Đối với một, nó sẽ chỉ khiến bạn trở thành mục tiêu vào lần tới vì sự sẵn sàng trả tiền của bạn là điều duy nhất khiến tội phạm mạng có động cơ. Ngoài ra, bạn nên xem xét khả năng những người tạo ra phần mềm độc hại sẽ không thực hiện lời hứa của họ là giải mã các tệp của bạn khi nhận được tiền chuộc bởi vì hãy nghĩ về điều đó, điều gì có thể xảy ra nếu họ không thực hiện thỏa thuận của mình? Đáng buồn thay, không có gì.

Vì vậy, bạn có thể làm gì để giải phóng máy tính của mình khỏi phần mềm tống tiền PureLocker nếu trả tiền chuộc không phải là một tùy chọn? Chúng tôi khuyên bạn nên chạy máy tính của mình ở Chế độ An toàn với Mạng. Điều này sẽ cung cấp cho bạn quyền truy cập vào các bản ghi lại mạng mà sau đó bạn có thể sử dụng để tải xuống giải pháp chống phần mềm độc hại mạnh mẽ như Outbyte Antivirus .

Phần mềm chống vi-rút sẽ xóa PureLocker ransomware và tất cả phần mềm độc hại của nó các thành phần.

Để khởi động vào Chế độ An toàn với Mạng trên Windows 7 / Vista hoặc Windows XP, hãy thực hiện theo các bước sau:

  • Đi tới Bắt đầu & gt; Tắt máy & gt; Khởi động lại & gt; OK.
  • Khi máy tính của bạn khởi động lại, nhấn F8 nhiều lần cho đến khi menu Tùy chọn khởi động nâng cao xuất hiện.
  • Chọn Chế độ an toàn với mạng bằng cách nhấn phím F5 .

    • Chế độ an toàn với mạng trên Windows 8 và 10:

  • Giữ nút nguồn trong khoảng 10 giây để tắt máy tính của bạn.
  • Nhấn lại nút nguồn, lần này để bật thiết bị.
  • Thực hiện lặp lại các bước trên cho đến khi thiết bị của bạn vào Môi trường khôi phục Windows (winRE).
  • Trên màn hình Chọn một Tùy chọn xuất hiện, chọn Khắc phục sự cố & gt; Tùy chọn Nâng cao & gt; Cài đặt Khởi động & gt; Khởi động lại.
  • Sau khi máy tính khởi động lại, bạn sẽ thấy danh sách các tùy chọn. Sử dụng các phím mũi tên để chọn Chế độ an toàn với mạng .

    • Nếu tùy chọn Chế độ an toàn với mạng không xóa được ransomware PureLocker thì bạn có thể lặp lại các bước trên. Nhưng lần này, thay vì chọn Cài đặt khởi động, hãy chọn Khôi phục hệ thống.

    Khôi phục hệ thống là quá trình khôi phục Windows cho phép bạn hoàn nguyên các thay đổi đối với cài đặt và các ứng dụng trên máy tính của bạn. Bạn có thể sử dụng nó để xóa các ứng dụng và phần mềm có vấn đề.

    Nếu phần mềm độc hại PureLocker đã tấn công máy Mac của bạn, bạn có thể sử dụng Cỗ máy thời gian để khôi phục một số tệp, cài đặt và ứng dụng của mình. Nhưng cũng giống như trường hợp của Khôi phục hệ thống, bản sao lưu Cỗ máy thời gian phải có sẵn trước khi bị lây nhiễm.

    Nếu vẫn thất bại và điều này cũng áp dụng cho máy Mac của bạn, hãy cân nhắc cài đặt phiên bản mới của Hệ điều hành.

    Bảo vệ máy tính của bạn khỏi bị lây nhiễm phải là nhiệm vụ quan trọng nhất mà bạn thực hiện. Dưới đây là một số mẹo để ngăn phần mềm độc hại chẳng hạn như PureLocker lây nhiễm vào tổ chức của bạn.

    Cập nhật tất cả hệ thống của bạn

    Thật không may là một số tổ chức vẫn chạy các phiên bản Windows cũ như Windows XP không còn nhận được bất kỳ bản chính thức nào. sự bảo vệ từ Microsoft. Windows XP đã từng là một sản phẩm tuyệt vời, nhưng thế giới đã thay đổi và gắn bó với nó chỉ làm tăng khả năng một trong nhiều lỗ hổng bảo mật của nó sẽ được sử dụng để chống lại bạn.

    Cài đặt phần mềm chống phần mềm độc hại.

    Bạn có giải pháp chống phần mềm độc hại cao cấp trên máy tính của mình không? Nếu không, bạn nên có một công cụ và trong khi sử dụng, bạn cũng nên cân nhắc cài đặt một công cụ sửa chữa PC, chẳng hạn như Outbyte PC Repair . Công cụ này sẽ liên tục quét tình trạng của PC của bạn. Nó cũng sẽ làm sạch không gian lưu trữ của bạn, giúp sửa chữa các mục đăng ký bị hỏng hoặc bị hỏng và tối ưu hóa hiệu suất của RAM.

    Tạo bản sao lưu các tệp của bạn

    Bạn nên có một đĩa vật lý để lưu trữ một số các tệp quan trọng trong trường hợp có bất ngờ khó chịu như phần mềm độc hại PureLocker tấn công hệ thống của bạn. Nếu không có mối đe dọa mất tệp của bạn, cuộc tấn công ransomware sẽ giống như mọi ngày trong văn phòng.

    Hy vọng rằng bài viết này sẽ giúp ích cho bạn về vấn đề đối phó với phần mềm độc hại PureLocker. Nếu bạn có bất kỳ câu hỏi, đề xuất hoặc điều gì cần bổ sung, vui lòng thực hiện trong phần bình luận bên dưới.

    Video youtube.: PureLocker là gì

    05, 2024