Безопасность

"Плохой кролик" атакует. Новый вирус-вымогатель парализовал компьютеры в Европе

31.05.2019

24 октября многих пользователей в Украине и России «навестил пасхальный кролик». Только он принес не подарки и радость, а огромное количество проблем. Да и назвали его соответственно - Bad Rabbit (или как пишут некоторые специалисты - BadRabbit). Именно под таким названием начал распространяться очередной вирус-шифровальщик.

Кто пострадал?

Первые сведения об атаке появились 24 октября сутра. Пострадали многие госкомпании в Украине (Киевский метрополитен, Одесский аэропорт) и России, а также некоторые СМИ. Также атакам подверглись и финучреждения, но злоумышленникам не удалось нанести им вред. В свою очередь, представители компании ESET сообщили, что проблемы возникли не только в России и Украине, но также в Турции, Японии и Болгарии.

После блокировки ПК малварь сообщала пользователю, что за разблокировку данных он должен перевести 0,05 биткоина (эквивалентно 280 USD) на счет злоумышленников.

Как распространяется?

Точных данных о способе распространения зловреда не было ничего известно. В компании Group-IB отметили, что атака готовилась несколько дней (хотя по мнению представителя «Лаборатории Касперского» Костина Райю подготовка заняла намного больше времени).

Однако, уже сегодня известно, что зловред распространялся под видом обычных обновлений Adobe Flash, не задействуя брешь в SMB, которой ранее пользовались шифровальщики WannaCry и NotPetya. Но и тут мнения специалистов расходятся.

В Group-IB считают , что Bad Rabbit - модификация NotPetya, в которой хакерам удалось исправить ошибки в алгоритме шифрования. В то же время представители Intezer отмечают, что вредоносный код идентичен только на 13%.

В ESET и «Лаборатории Касперского» заняли достаточно интересную позицию: в компаниях не исключают, что «злой кролик» может быть последователем NotPetya, но прямых заявлений по этому поводу не делают.

Как защитить компьютер?

На данный момент распространение шифровальщика уже прекращено, но специалисты отмечают, что стоит позаботиться о защите своих ПК от заражения. Для этого создайте файлы:

  • C:\Windows\infpub.dat и C:\Windows\cscc.dat;
  • снимите с них все разрешения на выполнение (заблокируйте).

Приветствую Вас, дорогие посетители и гости данного блога! Сегодня в мире появился очередной вирус-шифровальщик по имени: «Bad Rabbit » — «Злобный кролик «. Это уже третий нашумевший шифровальщик за 2017 год. Предыдущие были и (он же NotPetya).

Bad Rabbit — Кто уже пострадал и много ли требует денег?

Пока что предположительно от этого шифровальщика пострадали несколько российских медиа - среди них Интерфакс и Фонтанка. Также о хакерской атаке - возможно, связанной с тем же Bad Rabbit, - сообщает аэропорт Одессы.

За расшифровку файлов злоумышленники требуют 0,05 биткойна, что по современному курсу примерно эквивалентно 283 долларам или 15 700 рублям.

Результаты исследования «Лаборатории Касперского» говорят о том, что в атаке не используются эксплойты. Bad Rabbit распространяется через зараженные веб-сайты: пользователи скачивают фальшивый установщик Adobe Flash, вручную запускают его и тем самым заражают свои компьютеры.

Как сообщает «Лаборатория Касперского» — эксперты расследуют эту атаку и ищут способы борьбы с ним, а так же ищут возможность дешифровки файлов, пострадавших от шифровальщика.

Большая часть пострадавших от атаки находятся в России. Так же известно, что похожие атаки происходят в Украине, Турции и Германии, но в гораздо меньшем количестве. Шифровальщик Bad Rabbit распространяется через ряд заражённых сайтов российских СМИ.

«Лаборатория Каперского» считает, что все признаки указывают на то, что это целенаправленная атака на корпоративные сети. Используются методы, похожие на те, что мы наблюдали в атаке ExPetr, однако связь с ExPetr мы подтвердить не можем.

Уже известно, что продукты «Лаборатории Касперского» детектируют один из компонентов зловреда с помощью облачного сервиса Kaspersky Security Network как UDS:DangerousObject.Multi.Generic, а также с помощью System Watcher как PDM:Trojan.Win32.Generic.

Как защитить себя от вируса Bad Rabbit?

Чтобы не стать жертвой новой эпидемии «Плохого кролика», «Лаборатория Касперского » рекомендуем сделать следующее:

Если у вас установлен Антивирус Касперского, то:

  • Проверьте, включены ли в вашем защитном решении компоненты Kaspersky Security Network и «Мониторинг активности» (он же System Watcher). Если нет - обязательно включите.

Для тех, у кого нет данного продукта:

  • Заблокируйте исполнение файла c:\windows\infpub.dat, C:\Windows\cscc.dat. Это можно сделать через .
  • Запретите (если это возможно) использование сервиса WMI.

Еще очень важный совет от меня:

Всегда делайте backup (бекап — резервная копия ) важных Вам файлов. На съемном носителе, в облачных сервисах! Это сбережет ваши нервы, деньги и время!

Желаю вам не подхватит эту заразу к себе на ПК. Чистого и безопасного Вам интернета!

Он уже заразил компьютеры трёх российских СМИ и, вероятно, он же вызвал неполадки информационных систем на Украине.

В закладки

Днём 24 октября работать сайты информагентства «Интерфакс» и петербургской газеты «Фонтанка»: представители обоих сообщили, что причина заключалась в вирусной атаке. Позднее о атаке хакеров на украинское Мининфраструктуры, метро Киева и аэропорт Одессы.

Пока точно не известно, связаны ли все эти атаки, но все они произошли примерно в одно и то же время - о них стало известно с разницей в несколько часов. Как минимум, российские СМИ атаковал один и тот же вирус-шифровальщик, рассказывают в компании Group-IB и уточняют, что государственные учреждения на Украине тоже могли стать его жертвой.

Создатели самого вируса называют его Bad Rabbit. TJ рассказывает, что известно о вирусе.

  • Заражение Bad Rabbit напоминает в мае 2017 года: от него пострадали в основном компании в России и на Украине, распространение вируса происходило очень стремительно, хакеры требовали выкуп. Но в Group-IB говорят, что сам Bad Rabbit не похож на Petya.A или WannaCry - сейчас специалисты изучают заражённые компьютеры;
  • Вирус заражает компьютер, шифруя на нём файлы. Получить доступ к ним нельзя. На экране компьютера отображается подробное сообщение с инструкциями: в Telegram-канале Group-IB опубликовали фото примеров таких заражённых компьютеров;

Фото Group-IB

  • В инструкции говорится, что для расшифровки файлов нужно лишь ввести пароль. Но чтобы его получить, нужно проделать немалый путь. Во-первых, зайти на специальный сайт по адресу caforssztxqzf2nm.onion в даркнете - для этого потребуется браузер Tor. Судя по опубликованным Group-IB фотографиям, сайт везде указан одинаковый;
  • На сайте и указано название вируса - Bad Rabbit. Чтобы получить пароль на расшифровку данных, хакеры требуют ввести «персональный код установки» - длинный шифр из сообщения, выводимого на экране компьютера. После этого появится адрес биткоин-кошелька, на который требуется перевести деньги;
  • Судя по сайту Bad Rabbit, вымогатели требуют выкуп в 0,05 биткоина за каждый компьютер. По курсу на 24 октября это примерно 283 доллара или 16,5 тысяч рублей (Petya.A тоже требовал порядка 300 долларов);
  • Опять же, судя по сайту вируса, вымогатели дают всего двое суток (48 часов) на выплату первоначального выкупа. После истечения этого срока цена за расшифровку файлов вырастет, насколько - неизвестно;
  • Проверить адрес биткоин-кошелька, на который хакеры получают средства, при помощи доступных кодов с фотографий Group-IB не вышло. Возможно, они уже были использованы, возможно, мы допустили ошибку - всё-таки код длиной 356 символов;

Вирус-шифровальщик Bad Rabbit или Diskcoder.D. aтaкуeт кopпopaтивныe ceти бoльшиx и cpeдниx opгaнизaций, блoкиpуя вce ceти.

Bad Rabbit или "плохой кролик" трудно назвать первопроходцем - ему предшествовали вирусы-шифровальщики Petya и WannaCry.

Bad Rabbit — что за вирус

Схему распространения нового вируса исследовали эксперты антивирусной компании ESET и выяснили, что Bad Rabbit проникал на компьютеры жертв под видом обновления Adobe Flash для браузера.

В антивирусной компании считают, что шифратор Win32/Diskcoder.D, получивший название Bad Rabbit - модифицированная версия Win32/Diskcoder.C, более известного как Petya/NotPetya, который поразил IT-системы организаций в нескольких странах в июне. На связь Bad Rabbit с NotPetya указывают совпадения в коде.

В атаке используется программа Mimikatz, которая перехватывает на зараженной машине логины и пароли. Также в коде имеются уже прописанные логины и пароли для попыток получения административного доступа.

В новой вредоносной программе исправлены ошибки в шифровании файлов — код, использованный в вирусе, предназначен для шифрования логических дисков, внешних USB-накопителей и образов CD/DVD, а также загрузочных системных разделов диска. Так, что экспертам по дешифровке придется потратить много времени, чтобы раскрыть секрет вируса Bad Rabbit, утверждают специалисты.

Новый вирус, как утверждают специалисты, действует пo cтaндapтнoй для шифpoвaльщикoв cxeмe — пoпaдaя в cиcтeму неизвестно откуда, oн кoдиpуeт фaйлы, зa pacшифpoвку кoтopыx xaкepы тpeбуют выкуп в биткоинах.

Разблокировка одного компьютера обойдется в 0,05 биткоина, что составляет порядка 283 долларов по текущему курсу. В случае выплаты выкупа мошенники вышлют специальный код-ключ, который позволит восстановить нормальную работу системы и не потерять все.

Если пользователь не переведет средства в течение 48 часов, размер выкупа вырастет.

Но, стоит помнить, что выплата выкупа - может быть ловушкой, которая не гарантирует разблокировку компьютера.

В ESET отмечают, что в настоящее время связь вредоносной программы с удаленным сервером отсутствует.

Вирус больше всего поразил российских пользователей, в меньшей степени — компании в Германии, Турции и на Украине. Распространение происходило через зараженные СМИ. Известные зараженные сайты уже заблокированы.

В ESET считают, что статистика атак в значительной степени соответствует географическому распределению сайтов, содержащих вредоносный JavaScript.

Как защититься

Специалисты компании Group-IB, которая занимается предотвращением и расследованием киберпреступностей, дали рекомендации, как защититься от вируса Bad Rabbit.

В частности, для защиты от сетевого вредителя нужно создать на своем компьютере файл C:\windows\infpub.dat, при этом в разделе администрирования установить для него права "только для чтения".

Этим действием исполнение файла будет заблокировано, и все поступающие извне документы не будут зашифрованы даже в том случае, если окажутся зараженными. Нужно создать резервную копию всех ценных данных, чтобы в случае заражения не потерять их.

Специалисты Group-IB также советуют заблокировать ip-адреса и доменные имена, с которых происходило распространение вредоносных файлов, поставить пользователям блокировку всплывающих окон.

Рекомендуется также оперативно изолировать компьютеры в системе обнаружения вторжений. Пользователям ПК следует также проверить актуальность и целостность резервных копий ключевых сетевых узлов и обновить операционные системы и системы безопасности.

"В части парольной политики: настройками групповой политики запретите хранение паролей в LSA Dump в открытом виде. Смените все пароли на сложные", — добавили в компании.

Предшественники

Вирус WannaCry в мае 2017 года распространился не менее чем в 150 странах мира. Он шифровал информацию и требовал заплатить выкуп, по разным данным, от 300 до 600 долларов.

От него пострадали свыше 200 тысяч пользователей. По одной из версий, его создатели взяли за основу вредоносную программу АНБ США Eternal Blue.

Глобальная атака вируса-вымогателя Petya 27 июня поразила IT-системы компаний в нескольких странах мира, в большей степени затронув Украину.

Атаке подверглись компьютеры нефтяных, энергетических, телекоммуникационных, фармацевтических компаний, а также госорганов. Киберполиция Украины заявила, что атака вируса-вымогателя произошла посредством программы "M.E.doc".

Материал подготовлен на основе открытых источников



Возможно вас заинтересует