Remover Bad Rabbit vírus (Atualizado Nov 2017) - Instruções de remoção
Guia de remoção de virus Bad Rabbit
O que é Vírus ransomware Bad Rabbit?
Ransomware BadRabbit – um novo herdeiro do NotPetya/Petya.A?
O vírus BadRabbit funciona com um novo cripto-malware que conseguiu criar o caos na Europa de Leste. Opera de forma semelhante ao famoso ransomware Petya ou NotPetya que irrompeu no ciber-espaço há alguns meses. Olhando de forma mais próxima, embora existam algumas semelhanças e os peritos IT suspeitem que o programador possa ser o mesmo, o código de origem é bastante diferente.
De momento, diz-se que o número de vítimas excedeu as 200. Parece que os programadores desgostam bastante da Rússia e Ucrânia pois são estes os países mais afetados. O Aeroporto Internacional de Odessa na Ucrânia e várias empresas de media na Rússia, incluindo a Interfax, Fontanka.ru et al., são os alvos principais. Adicionalmente, o ataque também se expandiu para países vizinhos, como a Turquia e Bulgária.
Ataque drive-by através de falsas atualizações do Flash Player
O famoso sucesso do produto da Adobe, Flash Player, foi usado mais uma vez para o benefício dos programadores de malware. O principal dropper de malware está disfarçado de falsas atualizações de Flash. O malware é descarregado como ficheiro install_flash_player.exe a partir de sites corrompidos. O ransomware BadRabbit poderá também disfarçar-se sob nomes de ficheiro alternativos.
Como as análises do VirusTotal revelam, a ameaça poderá esconder-se num certo “Desinstalador”. Felizmente a infeção já é detetável pela maioria das aplicações de segurança. O malware explora certas vulnerabilidades em servidores SMB, o que explica porque é capaz de infiltrar servidores.
Após a invasão, o ransomware BadRabbit cria o ficheiro C:\Windows\infpub.dat. Consequentemente, gera os seguintes ficheiros – C:\Windows\cscc.dat e C:\Windows\dispci.exe. São responsáveis por modificar as definições MBR. Interessante que o malware sugira referências a personagens da série Guerra dos Tronos. O malware BadRabbit cria três tarefas nomeadas a partir de três dragões da série:
- C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat,#1 15
- cmd.exe /c schtasks /Delete /F /TN rhaegal
- cmd.exe /c schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR
- cmd.exe /c schtasks /Create /SC once /TN drogon /RU SYSTEM /TR:00
- C:\Windows\AF93.tmp” \
Utiliza também do serviço de encriptação de open-source chamado DiskCryptor. Mais tarde, utiliza o método de encriptação padrão AEs e RSA-2048. Visa uma variedade de formatos de ficheiros. Tal como o Petya.A não anexa qualquer extensão de ficheiro mas mexe com as configurações do Master Boot Record (MBR).
Reinicia o sistema e exibe a mesma nota de resgate que o NotPetya. Redireciona também as vítimas para o seu site de pagamento único. Informa-as resumidamente sobre o malware e exige 0.05 BTC de resgate. Após infiltrar com sucesso no sistema, o malware emprega o Mimikatz para adquirir informação técnica sobre outros dispositivos visíveis na mesma rede.
O vírus BadRabbit continua os delitos do Petya.
Dicas de prevenção para o BadRabbit
Relativamente ao facto do cripto-malware se disfarçar de Flash Player e entrar nos servidores, a medida chave de prevenção será a instalação imediata das atuais atualizações. Ainda existe pouca informação sobre que vulnerabilidades específicas o BadRabbit explora. Certifique-se que as suas ferramentas de segurança estão também atualizadas. Seria melhor descarregar algumas aplicações de segurança de diferentes tipos.
Por exemplo, o FortectIntego ou Malwarebytes irão ajudar a identificar a infeção. Este tipo de ferramenta poderá apenas auxiliar a efetuar a remoção do BadRabbit. Abaixo irá encontrar instruções para recuperar acesso ao computador. Depois disso, deverá ser capaz de remover o vírus BadRabbit.
Elimine o cripto-malware BadRabbit
Devido aos seus métodos de operação peculiares, não é surpreendente a razão pela qual o malware é chamado de próximo Petya. Se encontrou este infortúnio cibernético, siga as instruções abaixo. Uma vez que o altera as configurações MBR, não será capaz de iniciar o computador no Modo de Segurança. Implemente as instruções de reconfiguração do MBR.
Depois disso, reinicie o computador no Modo de Segurança, reative as suas aplicações de segurança e remova o vírus BadRabbit. Após o scan, inicie o computador no modo normal e repita o procedimento. Note que a eliminação do malware não recupera ficheiros codificados. Tente recuperá-los a partir de cópias de segurança. Irá encontrar algumas sugestões abaixo.
No Windows 7:
- Insira o DVD do Windows 7.
- Inicie o DVD.
- Escolha o idioma e preferências de disposição do teclado. Opte por Próximo.
- Escolha o seu sistema operativo, marque Utilizar ferramentas de recuperação e clique em Próximo.
- Espere que o ecrã de Opções de Recuperação do Sistema apareça e escolha Command Prompt.
- Digite os seguintes comandos e clique Enter após cada um: bootrec /rebuildbcd, bootrec /fixmbr, e bootrec /fixboot.
- Ejete o DVD de instalação e reinicie o PC.
Nos sistema Windows 8/10:
- Insira o DVD de instalação ou USB de recuperação.
- Selecione a opção Reparar o seu computador.
- Escolha Troubleshoot e selecione Command Prompt.
- Digite os comandos listados um por um e pressione Enter após cada um: bootrec /FixMbr, bootrec /FixBoot, bootrec /ScanOs e bootrec /RebuildBcd.
- Ejete o DVD ou USB de recuperação.
- Digite sair exit e pressione Enter.
- Reinicie o PC.
Guia de remoção manual de virus Bad Rabbit
Remoção manual de Bad Rabbit ransomware
Importante! →
O guia de eliminação manual pode ser demasiado complicado para utilizadores normais. Requer conhecimento informático avançado para ser executada corretamente (se danificar ou remover ficheiros de sistema importantes, pode comprometer todo o sistema operativo Windows), e pode demorar algumas horas. Portanto, aconselhamos que utilize o método automático providenciado acima.
Passo 1. Aceda ao Modo de Segurança com Rede
A eliminação manual de malware é mais eficaz no ambiente do Modo de Segurança.
Windows 7 / Vista / XP
- Clique em Iniciar > Encerrar > Reiniciar > OK.
- Quando o computador se tornar ativo, comece a pressionar repetidamente na tecla F8 (se não funcionar, experimente as teclas F2, F12, Del, etc. – tudo depende do modelo da sua motherboard) até ver a janela com as Opções de Arranque Avançadas.
- Selecione Modo de Segurança com Rede na lista.
Windows 10 / Windows 8
- Clique com o botão direito do rato no ícone Iniciar e selecione Definições.
- Selecione Atualizações e Segurança.
- Na barra de opções à esquerda, selecione Recuperação.
- Encontre a secção Arranque Avançado.
- Clique em Reiniciar agora.
- Selecione Resolução de Problemas.
- Aceda a Opções Avançadas.
- Selecione Definições de Arranque.
- Pressione em Reiniciar.
- Pressione a tecla 5 ou clique em 5) Ativar Modo de Segurança com Rede.
Passo 2. Encerre processos suspeitos
O Gestor de Tarefas do Windows é uma ferramenta útil que exibe todos os processos a serem executados em segundo plano. Caso o malware execute determinados processos, necessita de os encerrar:
- Pressione Ctrl + Shift + Esc no seu teclado para abrir o Gestor de Tarefas do Windows.
- Clique em Mais detalhes.
- Navegue até encontrar a secção Processos em segundo plano, e procure por processos suspeitos.
- Clique com o botão direito e selecione Abrir localização do ficheiro.
- Regresse ao processo, clique com o botão direito e selecione Terminar Tarefa.
- Elimine todo o conteúdo presente na pasta maliciosa.
Passo 3. Verifique os programas de Arranque
- Pressione Ctrl + Shift + Esc no seu teclado para abrir o Gestor de Tarefas do Windows.
- Aceda ao separador Arranque.
- Clique com o botão direito no programa suspeito e selecione Desativar.
Passo 4. Elimine ficheiros do vírus
Ficheiros relacionados com o malware podem ser encontrados em várias localizações no computador. Seguem algumas instruções para o ajudar a encontrar estes ficheiros:
- Escreva Limpeza do Disco na barra de pesquisa do Windows e pressione Enter.
- Selecione o disco que pretende limpar (C: é o seu disco rígido principal por predefinição, e é provavelmente o disco que contém os ficheiros maliciosos).
- Confira a lista de Ficheiros a eliminar e selecione o seguinte:
Ficheiros Temporários da Internet
Ficheiros de Programa Transferidos
Reciclagem
Ficheiros Temporários - Selecione Limpar ficheiros do sistema.
- Também pode procurar outros ficheiros maliciosos escondidos nas seguintes pastas (introduza as seguintes entradas na Pesquisa do Windows e pressione Enter):
%AppData%
%LocalAppData%
%ProgramData%
%WinDir%
Quando terminar, reinicie o PC no modo normal.
remover Bad Rabbit usando System Restore
Após recuperar o acesso às configurações iniciais, reinicie o computador no Modo de Segurança e inicie a remoção do BadRabbit.
-
Passo 1: Reinicie seu computador para Safe Mode with Command Prompt
Windows 7 / Vista / XP- Clique em Start → Shutdown → Restart → OK.
- Quando o computador se torna ativo, começar a carregar F8 várias vezes até que você veja o Advanced Boot Options janela.
- Selecionar Command Prompt da lista
Windows 10 / Windows 8- Pressione a Power botão no Windows tela de login. Agora, prima e mantenha premido Shift, que está no seu teclado e clique em Restart..
- Agora você pode selecionar Troubleshoot → Advanced options → Startup Settings e finalmente pressione Restart.
- quando o computador se torna ativo, selecione Enable Safe Mode with Command Prompt de Startup Settings janela.
-
Passo 2: Restaurar os arquivos e configurações de sistema
- Uma vez que a Command Prompt janela mostra, digite cd restore e clique em Enter.
- Agora digite rstrui.exe e pressione Enter novamente..
- Quando uma nova janela aparece, clique em Next e selecione o ponto de restauração que é antes da infiltração de Bad Rabbit. Após fazer isso, clique em Next.
- Agora clique em Yes para iniciar restauração do sistema.
Bonus: Recuperar os seus dados
O guia acima tem como objectivo remover Bad Rabbit do seu computador. Para recuperar files encriptados, siga este guia preparado por semvirus.pt especialistas de segurançaSe os seus ficheiros estão encriptados por Bad Rabbit, pode usar diversos metodos para os recuperar
É o Data Recovery Pro capaz de descodificar os ficheiros afetados pelo BadRabbit?
O programa foi originalmente criado para recuperar ficheiros após uma quebra do sistema. Por outro lado, se não tem cópias de segurança, este software poderá ser um dos últimos recursos.
- Data Recovery Pro de descargas;
- Siga os passos do setup de Data Recovery e instale este programa no seu computador
- Execute e verifique o seu computador para encontrar os ficheiros encriptadas por Bad Rabbit ransomware;
- Repare-os
Os benefícios do ShadowExplorer
Embora o ransomware BadRabbit seja requintado, não existe informação sobre se elimina cópias de volume sombra de momento. Assim sendo, pode experimentá-lo.
- Download Shadow Explorer (http://shadowexplorer.com/);
- Siga as intruções de intalação de Shadow Explorer e instale esta aplicação no seu computador
- Execute o programa e explore o menu no canto superior esquerdo ate encontrar o seu disco com os dados encriptados. Verifique que pastas estão lá.
- Clique no butão direito do rato nas pastas que quer recuperar e selecione “Export”. Também pode selecionar onde quer guardar.
Por último, você deve sempre pensar sobre a protecção de crypto-ransomwares. A fim de proteger o seu computador a partir de Bad Rabbit e outros ransomwares, use um anti-spyware respeitável, como FortectIntego, SpyHunter 5Combo Cleaner ou Malwarebytes
Recomendado para você
Selecione um browser web adequado e melhore a sua segurança com uma VPN
A espionagem online cresceu substancialmente durante os últimos anos, e os utilizadores estão cada vez mais interessados em formas de proteger a sua privacidade. Um dos meios básicos utilizados para adicionar uma camada de segurança – selecione o browser web mais privado e seguro.
De qualquer forma, existe uma forma eficaz de garantir um nível extra de proteção e criar sessões de navegação online completamente anónimas com a ajuda da VPN Private Internet Access. Este software reencaminha o tráfego através de diferentes servidores, ocultando o seu próprio endereço IP e localização geográfica. A combinação de um browser seguro com a VPN Private Internet Access permite-lhe navegar pela Internet sem medo de ser monitorizado ou atacado por criminosos.
Cópias de segurança para utilizar mais tarde, em caso de ataque de malware
Os problemas de software causados por malware ou perda direta de dados provocada por encriptação, podem significar problemas graves no seu dispositivo, ou danos permanentes. Quando possui cópias de segurança atualizadas, consegue facilmente recuperar após um incidente e continuar o seu trabalho.
Atualizar as suas cópias de segurança é crucial após efetuar quaisquer alterações no dispositivo, de forma a conseguir regressar ao seu trabalho quando o malware efetuar alterações indesejadas, ou sempre que ocorrerem problemas no dispositivo que causem a perda de dados ou corrupção permanente de ficheiros.
Ao guardar sempre a versão mais recente de qualquer documento ou projeto importante, é possível evitar todas as potenciais frustrações e interrupções. Utilize o Data Recovery Pro para restaurar ficheiros do sistema.