Что такое PureLocker? – Программное обеспечение протестировано

В 2019 году появилось несколько угроз программ-вымогателей, которые нанесли ущерб как отдельным компьютерам, так и целым организациям. Одной из таких программ-вымогателей, которая попала в заголовки газет, является программа-вымогатель PureLocker. Это вредоносное ПО, способное атаковать как производственные серверы, так и предприятия на базе Windows и Linux.

Программа-вымогатель PureLocker названа так потому, что ее код написан на языке программирования PureBasic. Это дает ему несколько преимуществ перед другими семействами программ-вымогателей. Во-первых, PureBasic не так уж распространен, а это означает, что многие решения для защиты от вредоносных программ не справляются с задачей, когда дело доходит до борьбы с угрозой, которую он представляет. Другими словами, многие антивирусные программы ограничены в обнаружении сигнатур двоичных файлов PureBasic.

Несмотря на новизну во многих отношениях, программа-вымогатель PureLocker по-прежнему использует некоторый код из известных семейств программ-вымогателей, таких как семейство программ-вымогателей «more_eggs». More_eggs продается как вредоносное ПО как услуга (MaaS) в темной сети, а это означает, что атаки PureLocker связаны с преступными группировками, такими как Cobalt Group и банда FIN6.

Что делает вредоносное ПО PureLocker

Мы уже установили, что программа-вымогатель PureLocker немного отличается от других вредоносных программ, но как именно она работает? Известно, что программа-вымогатель уклоняется от перехвата функций NTDLL API пользовательского режима, загружая копию «ntdll.dll» и разрешая оттуда адреса API. Этот трюк уклонения затрудняет противодействие антивирусным программам вредоносным программам, поскольку перехват API — это то, что антивирусные программы используют для просмотра точных функций, вызываемых вредоносным ПО или любым другим программным обеспечением в этом отношении.

Вредоносная программа также выдает инструкции по установке компонентов PureLocker в утилиту командной строки в Windows под названием regrsrv32.exe. Он делает это, не вызывая никаких диалогов. При выполнении regrsrv32.exe вредоносное ПО проверяет год, и это подтверждает его расширение файла как .DLL или .OCX. Он также подтверждает, есть ли у пользователя компьютера права администратора. Если какая-либо из этих проверок не пройдена, вредоносное ПО спокойно покинет зараженный компьютер, как ни в чем не бывало, но если выяснится, что все в порядке, то файлы компьютера цели будут зашифрованы стандартной комбинацией шифрования AES + RSA. Расширение .CRI добавляется для каждого зашифрованного файла. Теневые файлы или резервные копии Windows удаляются в процессе заражения, поэтому у вас нет возможности восстановить свои файлы.

Последняя необычная особенность программы-вымогателя PureLocker заключается в том, что вместо того, чтобы отображать файл readme.txt, сообщающий пользователям, куда отправить выкуп, он выдает анонимный и зашифрованный адрес электронной почты, который связывает злоумышленников с жертвами. Если они приходят к соглашению, делается предложение расшифровать файлы.

Как удалить программу-вымогатель PureLocker с вашего компьютера

PureLocker — уникальное вредоносное ПО во многих отношениях, и оно может оставаться скрытым на компьютере без обнаружения в течение очень долгого времени. Таким образом, варианты удаления вредоносных программ ограничены несколькими. Но как бы вы ни были в отчаянии, вы никогда не должны платить выкуп преступникам, стоящим за вредоносной программой. Во-первых, это только сделает вас мишенью в следующий раз, поскольку ваша готовность платить — единственное, что мотивирует киберпреступников. Кроме того, вы должны учитывать возможность того, что создатели вредоносных программ не собираются выполнять свое обещание расшифровать ваши файлы после получения выкупа, потому что подумайте об этом, что может произойти, если они не выполнят свою часть сделки? К сожалению, ничего.

Итак, что вы можете сделать, чтобы избавить свой компьютер от программы-вымогателя PureLocker, если платить выкуп нет возможности? Мы предлагаем вам запустить компьютер в безопасном режиме с поддержкой сети. Это даст вам доступ к сетевым ресурсам, которые вы впоследствии сможете использовать для загрузки мощного решения для защиты от вредоносных программ, такого как Outbyte Антивирус.

Антивирус удалит программу-вымогатель PureLocker и все ее вредоносные компоненты.

Чтобы загрузиться в безопасном режиме с поддержкой сети в Windows 7/Vista или Windows XP, выполните следующие действия:

1. Выберите «Пуск» > «Завершение работы» > «Перезагрузить» > «ОК».
2. Когда ваш компьютер перезагрузится, нажмите F8 несколько раз, пока не появится меню «Дополнительные параметры загрузки».
3. Выберите безопасный режим с поддержкой сети, нажав клавишу F5.

Безопасный режим с поддержкой сети в Windows 8 и 10:

1. Удерживайте кнопку питания около 10 секунд, чтобы выключить компьютер.
2. Нажмите кнопку питания еще раз, на этот раз, чтобы включить устройство.
3. Повторяйте описанные выше шаги, пока ваши устройства не войдут в среду восстановления Windows (winRE).
4. На появившемся экране «Выбор параметра» выберите «Устранение неполадок» > «Дополнительные параметры» > «Параметры запуска» > «Перезагрузить».
5. После перезагрузки компьютера вы увидите список параметров. Используйте клавиши со стрелками, чтобы выбрать Безопасный режим с поддержкой сети.

Если параметр «Безопасный режим с поддержкой сети» не может удалить программу-вымогатель PureLocker, вы можете повторить описанные выше шаги. Но на этот раз вместо выбора «Параметры запуска» выберите «Восстановление системы».

Восстановление системы — это процесс восстановления Windows, который позволяет отменить изменения настроек и приложений на вашем компьютере. Вы можете использовать его для удаления проблемных приложений и программного обеспечения.

Если вредоносное ПО PureLocker поразило ваш Mac, вы можете использовать Time Machine для восстановления некоторых ваших файлов, настроек и приложений. Но, как и в случае с восстановлением системы, резервная копия Time Machine должна быть доступна до любого заражения.

Если ничего не помогает, и это относится и к вашему Mac, рассмотрите возможность установки свежей версии ОС.

Защита вашего компьютера от заражения должна быть самой важной задачей, которую вы берете на себя. Вот несколько советов, как предотвратить заражение вашей организации вредоносными программами, такими как PureLocker.

Обновите все свои системы

К сожалению, некоторые организации до сих пор используют старые версии Windows, такие как Windows XP, которые больше не получают никакой официальной защиты от Microsoft. Windows XP когда-то была отличным продуктом, но с тех пор мир изменился, и ее приверженность только увеличивает шансы того, что одна из ее многочисленных уязвимостей будет использована против вас.

Установите антивирус

Есть ли на вашем компьютере премиум-решение для защиты от вредоносных программ? Если нет, у вас должен быть один, и при этом вам также следует подумать об установке инструмента для ремонта ПК, такого как Ремонт ПК Outbyte. Этот инструмент будет постоянно сканировать состояние вашего ПК. Он также очистит ваши дисковые пространства, поможет восстановить поврежденные записи реестра и оптимизировать производительность оперативной памяти.

Создайте резервную копию ваших файлов

У вас должен быть физический диск, на котором вы храните некоторые из ваших самых важных файлов на случай, если неприятный сюрприз, такой как вредоносное ПО PureLocker, поразит ваши системы. Без угрозы потери ваших файлов атака программ-вымогателей будет такой же, как и каждый день в офисе.

Надеюсь, эта статья помогла вам разобраться с вредоносным ПО PureLocker. Если у вас есть какие-либо вопросы, предложения или что-то, что можно добавить, не стесняйтесь делать это в разделе комментариев ниже.