PureLocker คืออะไร (05.19.24)

ป้องกันมัลแวร์

2019 พบภัยคุกคามจากแรนซัมแวร์จำนวนหนึ่งที่ทำลายคอมพิวเตอร์แต่ละเครื่องและทั่วทั้งองค์กร แรนซัมแวร์ตัวหนึ่งที่พาดหัวข่าวคือแรนซัมแวร์ PureLocker เป็นมัลแวร์ที่สามารถโจมตีเซิร์ฟเวอร์และองค์กรที่ใช้งานจริงทั้ง Windows และ Linux

เรียกแรนซัมแวร์ PureLocker เนื่องจากโค้ดของมันถูกเขียนด้วยภาษาโปรแกรม PureBasic สิ่งนี้ทำให้มีข้อได้เปรียบหลายประการเหนือตระกูลแรนซัมแวร์อื่นๆ ประการแรก PureBasic ไม่ใช่สิ่งที่พบเห็นได้ทั่วไป ซึ่งหมายความว่าโซลูชันป้องกันมัลแวร์จำนวนมากไม่เหมาะกับงานเมื่อต้องรับมือกับภัยคุกคามที่เกิดขึ้น กล่าวอีกนัยหนึ่ง โปรแกรมป้องกันไวรัสจำนวนมากถูกจำกัดเมื่อต้องตรวจจับลายเซ็นจากไบนารี PureBasic

แม้ว่าจะแปลกใหม่ในหลาย ๆ ด้าน แต่แรนซัมแวร์ PureLocker ยังคงใช้โค้ดบางตัวจากตระกูลแรนซัมแวร์ที่รู้จัก เช่น แรนซัมแวร์ตระกูล “more_eggs” More_eggs ขายเป็น Malware-as-a-service (MaaS) บนเว็บมืด ซึ่งหมายความว่าการโจมตีโดย PureLocker นั้นเชื่อมโยงกับกลุ่มอาชญากรที่ชั่วร้าย เช่น Cobalt Group และแก๊ง FIN6

มัลแวร์ PureLocker คืออะไร

เราได้พิสูจน์แล้วว่าแรนซัมแวร์ PureLocker นั้นแตกต่างจากมัลแวร์อื่นเล็กน้อย แต่มันทำงานอย่างไรกันแน่? เป็นที่ทราบกันดีว่าแรนซัมแวร์สามารถหลบเลี่ยงการเชื่อมต่อ API ในโหมดผู้ใช้ของฟังก์ชัน NTDLL ได้โดยการโหลดสำเนา "ntdll.dll" และแก้ไขที่อยู่ API จากที่นั่น เคล็ดลับการหลีกเลี่ยงนี้ทำให้โปรแกรมป้องกันไวรัสต่อต้านมัลแวร์ได้ยาก เนื่องจากการใช้ API เป็นสิ่งที่โปรแกรมป้องกันไวรัสใช้เพื่อดูฟังก์ชันที่แน่นอนซึ่งถูกเรียกโดยมัลแวร์หรือซอฟต์แวร์อื่นๆ สำหรับเรื่องนั้น

มัลแวร์ยังออกคำแนะนำในการติดตั้งส่วนประกอบ PureLocker ไปยังยูทิลิตี้บรรทัดคำสั่งใน Windows ที่เรียกว่า regrsrv32.exe มันทำสิ่งนี้โดยไม่ต้องเพิ่มบทสนทนาใด ๆ เมื่อดำเนินการโดย regrsrv32.exe มัลแวร์จะตรวจสอบปีและยืนยันนามสกุลไฟล์เป็น .DLL หรือ .OCX นอกจากนี้ยังเป็นการยืนยันว่าผู้ใช้คอมพิวเตอร์มีสิทธิ์ของผู้ดูแลระบบหรือไม่ หากการตรวจสอบใดล้มเหลว มัลแวร์จะออกจากคอมพิวเตอร์ที่ติดไวรัสอย่างเงียบ ๆ ราวกับว่าไม่มีอะไรเกิดขึ้น แต่ถ้าปรากฎว่าทุกอย่างเรียบร้อย ไฟล์คอมพิวเตอร์ของเป้าหมายจะถูกเข้ารหัสด้วยการเข้ารหัส AES+ RSA มาตรฐาน มีการเพิ่มนามสกุล .CRI สำหรับทุกไฟล์ที่เข้ารหัส ไฟล์เงาหรือข้อมูลสำรองของ Windows จะถูกลบออกระหว่างกระบวนการติดไวรัส ดังนั้นคุณไม่มีทางกู้คืนไฟล์ของคุณได้เลย

สิ่งผิดปกติประการสุดท้ายเกี่ยวกับ PureLocker ransomware ก็คือ แทนที่จะแสดง readme.txt ที่บอกผู้ใช้ว่าจะส่งเงินค่าไถ่ไปที่ใด มันออกที่อยู่อีเมลที่ไม่ระบุชื่อและเข้ารหัสซึ่งเชื่อมโยงผู้โจมตีกับเหยื่อ หากมีข้อตกลงร่วมกัน จะมีการเสนอให้ถอดรหัสไฟล์

วิธีลบ PureLocker Ransomware ออกจากคอมพิวเตอร์ของคุณ

PureLocker เป็นมัลแวร์ที่มีลักษณะเฉพาะในหลาย ๆ ด้าน และสามารถซ่อนอยู่ในคอมพิวเตอร์โดยไม่ต้องตรวจพบเป็นเวลานานมาก ดังนั้น ตัวเลือกในการลบมัลแวร์มีเพียงไม่กี่ตัวเลือกเท่านั้น แต่ไม่ว่าคุณจะสิ้นหวังแค่ไหน คุณไม่ควรพิจารณาจ่ายค่าไถ่ให้กับอาชญากรที่อยู่เบื้องหลังมัลแวร์ ประการแรกมันจะทำให้คุณเป็นเป้าหมายในครั้งต่อไปเท่านั้นเนื่องจากความเต็มใจที่จะจ่ายเป็นสิ่งเดียวที่ทำให้อาชญากรไซเบอร์มีแรงจูงใจ นอกจากนี้ คุณควรพิจารณาถึงความเป็นไปได้ที่ผู้สร้างมัลแวร์จะไม่ทำตามคำสัญญาที่จะถอดรหัสไฟล์ของคุณเมื่อได้รับค่าไถ่ เพราะลองคิดดูว่า จะเกิดอะไรขึ้นหากพวกเขาล้มเหลวในการยุติการต่อรอง น่าเศร้าที่ไม่มีอะไร

ดังนั้น คุณจะทำอย่างไรเพื่อให้คอมพิวเตอร์ของคุณปลอดจากแรนซัมแวร์ PureLocker หากการจ่ายค่าไถ่ไม่ใช่ตัวเลือก เราขอแนะนำให้คุณเรียกใช้คอมพิวเตอร์ในเซฟโหมดที่มีระบบเครือข่าย สิ่งนี้จะทำให้คุณเข้าถึง reimgs ของเครือข่ายที่คุณสามารถใช้เพื่อดาวน์โหลดโซลูชันป้องกันมัลแวร์ที่ทรงพลังในภายหลัง เช่น Outbyte Antivirus

โปรแกรมป้องกันไวรัสจะลบ PureLocker ransomware และมัลแวร์ที่เป็นอันตรายทั้งหมด คอมโพเนนต์

ในการบูตเข้าสู่ Safe Mode with Networking ใน Windows 7/ Vista หรือ Windows XP ให้ทำตามขั้นตอนต่อไปนี้:

ไปที่ Start > ปิดเครื่อง > รีสตาร์ท > ตกลง

เมื่อคอมพิวเตอร์ของคุณรีสตาร์ท ให้กด F8 หลาย ๆ ครั้งจนกระทั่งเมนู Advanced Boot Options ปรากฏขึ้น

เลือก Safe Mode with Networking โดยกดปุ่ม F5

Safe Mode with Networking ใน Windows 8 และ 10:

กดปุ่มเปิด/ปิดค้างไว้ประมาณ 10 วินาทีเพื่อปิดเครื่องคอมพิวเตอร์

กดปุ่มเปิด/ปิดอีกครั้ง คราวนี้เพื่อเปิดอุปกรณ์

ทำตามขั้นตอนด้านบนซ้ำๆ จนกว่าอุปกรณ์ของคุณจะเข้าสู่ Windows Recovery Environment (winRE)

li>

บนหน้าจอ เลือกตัวเลือก ที่ปรากฏขึ้น ให้เลือก แก้ไขปัญหา > ตัวเลือกขั้นสูง > การตั้งค่าเริ่มต้น > รีสตาร์ท

หลังจากรีสตาร์ทคอมพิวเตอร์ คุณจะเห็นรายการตัวเลือก ใช้ปุ่มลูกศรเพื่อเลือก Safe Mode with Networking

หากตัวเลือก Safe Mode with Networking ไม่สามารถลบ PureLocker ransomware ได้ คุณสามารถทำซ้ำขั้นตอนข้างต้นได้ แต่คราวนี้ แทนที่จะเลือก การตั้งค่าการเริ่มต้น ให้เลือก การคืนค่าระบบ

การคืนค่าระบบเป็นกระบวนการกู้คืนของ Windows ที่ให้คุณเปลี่ยนกลับการเปลี่ยนแปลงการตั้งค่า และแอพในคอมพิวเตอร์ของคุณ คุณสามารถใช้เพื่อนำแอปและซอฟต์แวร์ที่มีปัญหาออกได้

หากมัลแวร์ PureLocker โจมตี Mac ของคุณ คุณสามารถใช้ Time Machine เพื่อกู้คืนไฟล์ การตั้งค่า และแอปบางส่วนได้ แต่เช่นเดียวกับกรณีของการคืนค่าระบบ การสำรองข้อมูล Time Machine จะต้องพร้อมใช้งานก่อนการติดไวรัสใดๆ

หากสิ่งอื่นล้มเหลว และสิ่งนี้ใช้ได้กับ Mac ของคุณด้วย ให้พิจารณาติดตั้งเวอร์ชันใหม่ของ ระบบปฏิบัติการ

การปกป้องคอมพิวเตอร์ของคุณจากการติดไวรัสควรเป็นงานที่สำคัญที่สุดที่คุณดำเนินการ ต่อไปนี้คือเคล็ดลับบางประการในการป้องกันมัลแวร์ เช่น PureLocker ไม่ให้ติดไวรัสในองค์กรของคุณ

อัปเดตระบบทั้งหมดของคุณ

น่าเสียดายที่บางองค์กรยังคงใช้ Windows เวอร์ชันเก่า เช่น Windows XP ซึ่งไม่ได้รับทางการ การป้องกันจากไมโครซอฟต์ Windows XP เคยเป็นผลิตภัณฑ์ที่ยอดเยี่ยม แต่หลังจากนั้นโลกก็ได้เดินหน้าต่อไป และการยึดมั่นในสิ่งนี้จะเพิ่มโอกาสที่คุณจะใช้ช่องโหว่จำนวนมากในนั้น

ติดตั้งโปรแกรมป้องกันมัลแวร์

คุณมีโซลูชันป้องกันมัลแวร์ระดับพรีเมียมบนคอมพิวเตอร์ของคุณหรือไม่ หากไม่มี คุณควรมีไว้สักอัน และระหว่างนั้น คุณควรพิจารณาติดตั้งเครื่องมือซ่อมแซมพีซี เช่น Outbyte PC Repair เครื่องมือนี้จะสแกนความสมบูรณ์ของพีซีของคุณอย่างต่อเนื่อง นอกจากนี้ยังจะทำความสะอาดพื้นที่เก็บข้อมูลของคุณ ช่วยซ่อมแซมรายการรีจิสตรีที่เสียหายหรือเสียหาย และเพิ่มประสิทธิภาพการทำงานของ RAM

สร้างการสำรองไฟล์ของคุณ

คุณควรมีดิสก์จริงที่คุณจัดเก็บบางส่วนไว้มากที่สุด ไฟล์สำคัญในกรณีที่เกิดความประหลาดใจที่น่ารังเกียจเช่นมัลแวร์ PureLocker โจมตีระบบของคุณ หากไม่มีภัยคุกคามจากการสูญเสียไฟล์ของคุณ การโจมตีของแรนซัมแวร์ก็จะเหมือนกับทุกๆ วันในสำนักงาน

หวังว่าบทความนี้จะช่วยคุณในการจัดการกับมัลแวร์ PureLocker หากคุณมีคำถาม ข้อเสนอแนะ หรืออะไรเพิ่มเติม อย่าลังเลที่จะทำในส่วนความคิดเห็นด้านล่าง