Ըստ «Կասպերսկու լաբորատորիայի»՝ դա կարող է լինել փրկագին վիրուսների երրորդ ալիքի նախագուշակ: Առաջին երկուսն էին աղմկահարույց WannaCry-ն և Petya-ն (aka NotPetya): Կիբերանվտանգության փորձագետները MIR 24-ի հետ զրուցել են ցանցային նոր չարամիտ ծրագրի առաջացման և դրա հզոր հարձակումից պաշտպանվելու մասին:
Վատ նապաստակի հարձակման զոհերի մեծ մասը Ռուսաստանում է։ Ուկրաինայի, Թուրքիայի և Գերմանիայի տարածքում դրանք շատ ավելի քիչ են, ասել է Կասպերսկու լաբորատորիայի հակավիրուսային հետազոտության բաժնի ղեկավարը։ Վյաչեսլավ Զակորժևսկի. Հավանաբար երկրորդ ամենաակտիվն են դարձել այն երկրները, որտեղ օգտատերերը ակտիվորեն հետևում են ռուսական ինտերնետ ռեսուրսներին։
Երբ չարամիտ ծրագիրը վարակում է համակարգիչը, այն կոդավորում է դրա վրա գտնվող ֆայլերը: Այն տարածվում է վեբ-թրաֆիկի միջոցով կոտրված ինտերնետային ռեսուրսներից, որոնց թվում էին հիմնականում դաշնային ռուսական լրատվամիջոցների կայքերը, ինչպես նաև Կիևի մետրոյի, Ուկրաինայի ենթակառուցվածքների նախարարության և Օդեսայի միջազգային օդանավակայանի համակարգիչներն ու սերվերները: Արձանագրվել է նաև թոփ 20-ից ռուսական բանկերի վրա հարձակվելու անհաջող փորձ։
Այն, որ Fontanka-ն, Interfax-ը և մի շարք այլ հրատարակություններ ենթարկվել են Bad Rabbit-ի հարձակմանը, երեկ հայտնել է տեղեկատվական անվտանգության ոլորտում մասնագիտացած Group-IB ընկերությունը։ Վիրուսի կոդի վերլուծությունը ցույց տվեց դա Bad Rabbit-ը կապված է Not Petya ransomware-ի հետ, որը հունիսինայս տարի հարձակվել են Ուկրաինայի էներգետիկ, հեռահաղորդակցության և ֆինանսական ընկերությունների վրա:
Հարձակումը նախապատրաստվել է մի քանի օր և, չնայած վարակի մասշտաբներին, փրկագինը հարձակման զոհերից պահանջել է համեմատաբար փոքր գումարներ՝ 0,05 բիթքոյն (սա մոտ 283 դոլար կամ 15700 ռուբլի է)։ Դուք ունեք 48 ժամ մարելու համար: Այդ ժամկետը լրանալուց հետո գումարն ավելանում է։
Group-IB-ի մասնագետները կարծում են, որ, ամենայն հավանականությամբ, հաքերները փող աշխատելու մտադրություն չունեն։ Նրանց հավանական նպատակն է ստուգել ձեռնարկությունների, պետական գերատեսչությունների և մասնավոր ընկերությունների կարևոր ենթակառուցվածքային ցանցերի պաշտպանության մակարդակը:
Հեշտ է հարձակվել
Երբ օգտատերը այցելում է վարակված կայք, վնասակար կոդը օգտատիրոջ մասին տեղեկատվություն է ուղարկում հեռավոր սերվեր: Այնուհետև հայտնվում է թռուցիկ պատուհան՝ խնդրելով ներբեռնել թարմացում Flash Player-ի համար, որը կեղծ է: Եթե օգտատերը հավանություն է տվել «Տեղադրել» օպերացիային, ապա համակարգիչ կներբեռնվի ֆայլ, որն իր հերթին համակարգում կգործարկի Win32/Filecoder.D կոդավորիչը։ Ավելին, փաստաթղթերի հասանելիությունը կարգելափակվի, էկրանին կհայտնվի փրկագնի հաղորդագրություն:
Bad Rabbit վիրուսը սկանավորում է ցանցը բաց ցանցային ռեսուրսների համար, որից հետո գործարկում է հավատարմագրերի հավաքագրման գործիք վարակված մեքենայի վրա, և այդ «վարքագիծը» տարբերվում է իր նախորդներից։
Հակավիրուսային ծրագրերի միջազգային մշակողի Eset NOD 32 մասնագետները հաստատել են, որ Bad Rabbit-ը Petya վիրուսի նոր մոդիֆիկացիան է, որի սկզբունքը նույնն է. Վատ նապաստակ - 300 դոլար): Նոր չարամիտ ծրագիրը շտկում է ֆայլերի կոդավորման սխալները: Վիրուսի մեջ օգտագործվող ծածկագիրը նախատեսված է տրամաբանական կրիչներ, արտաքին USB կրիչներ և CD/DVD պատկերներ, ինչպես նաև bootable սկավառակի միջնորմների ծածկագրման համար:
Խոսելով հանդիսատեսի մասին, որի վրա հարձակվել է Bad Rabbit-ը՝ ESET Russia-ի վաճառքի աջակցության բաժնի ղեկավարը Վիտալի Զեմսկիհայտարարել է, որ ընկերության հակավիրուսային արտադրանքների կողմից կասեցված հարձակումների 65%-ը բաժին է ընկնում Ռուսաստանին։ Նոր վիրուսի մնացած աշխարհագրությունն ունի հետևյալ տեսքը.
Ուկրաինա՝ 12,2%
Բուլղարիա - 10,2%
Թուրքիա՝ 6,4%
Ճապոնիա՝ 3,8%
մյուսները՝ 2,4%
«Փրկագին օգտագործում է հայտնի բաց կոդով ծրագրակազմ, որը կոչվում է DiskCryptor՝ զոհի կրիչները գաղտնագրելու համար: Կողպման հաղորդագրության էկրանը, որը տեսնում է օգտատերը, գրեթե նույնական է Petya և NotPetya կողպէկրաններին: Այնուամենայնիվ, սա միակ նմանությունն է, որը մենք մինչ այժմ տեսել ենք երկու չարամիտ ծրագրերի միջև: Մնացած բոլոր առումներով BadRabbit-ը փրկագինի բոլորովին նոր և եզակի տեսակ է», - ասում է Check Point Software Technologies-ի CTO-ն: Նիկիտա Դուրով.
Ինչպե՞ս պաշտպանվել ձեզ վատ նապաստակից:
Windows-ից բացի այլ օպերացիոն համակարգերի սեփականատերերը կարող են հանգիստ շունչ քաշել, քանի որ նոր փրկագին վիրուսը խոցելի է դարձնում միայն այս «առանցքով» համակարգիչները:
Ցանցային չարամիտ ծրագրերից պաշտպանվելու համար փորձագետները խորհուրդ են տալիս ձեր համակարգչում ստեղծել C:\windows\infpub.dat ֆայլը` միաժամանակ սահմանելով դրա միայն կարդալու իրավունքները. դա հեշտ է անել կառավարման բաժնում: Այսպիսով, դուք կարգելափակեք ֆայլի կատարումը, և դրսից եկող բոլոր փաստաթղթերը չեն գաղտնագրվի, նույնիսկ եթե պարզվի, որ դրանք վարակված են: Որպեսզի վիրուսով վարակվելու դեպքում արժեքավոր տվյալներ չկորցնեք, հիմա կրկնօրինակեք (պահուստային պատճեն): Եվ, իհարկե, արժե հիշել, որ փրկագին վճարելը ծուղակ է, որը չի երաշխավորում ձեր համակարգչի ապակողպումը:
Հիշեցնենք, որ այս տարվա մայիսին վիրուսը տարածվել է աշխարհի առնվազն 150 երկրներում։ Նա ծածկագրել է տեղեկատվությունը և պահանջել փրկագին վճարել, ըստ տարբեր աղբյուրների՝ 300-ից մինչև 600 դոլար։ Դրանից տուժել է ավելի քան 200 հազար օգտատեր։ Վարկածներից մեկի համաձայն՝ դրա ստեղծողները հիմք են ընդունել ԱՄՆ NSA չարամիտ Eternal Blue ծրագիրը:
Ալլա Սմիրնովան զրուցել է փորձագետների հետ
Բարեւ բոլորին! Օրերս Ռուսաստանում և Ուկրաինայում, Թուրքիայում, Գերմանիայում և Բուլղարիայում լայնածավալ հաքերային հարձակում սկսվեց նոր Bad Rabbit գաղտնագրման վիրուսով, որը կոչվում է Diskcoder.D: Փրկագին ներկայումս հարձակվում է խոշոր և միջին կազմակերպությունների կորպորատիվ ցանցերի վրա՝ արգելափակելով բոլոր ցանցերը։ Այսօր մենք ձեզ կասենք, թե ինչ է այս տրոյան և ինչպես կարող եք պաշտպանվել ձեզ դրանից:
Ի՞նչ է վիրուսը:
Bad Rabbit-ը (Bad Rabbit) գործում է փրկագնի համար նախատեսված ստանդարտ սխեմայի համաձայն. երբ այն մտնում է համակարգ, այն կոդավորում է ֆայլեր, որոնց վերծանման համար հաքերները պահանջում են 0,05 բիթքոին, որը կազմում է 283 դոլար (կամ 15700 ռուբլի): Սա հաղորդվում է առանձին պատուհանում, որտեղ դուք իրականում պետք է մուտքագրեք գնված բանալին: Սպառնալիքը տրոյական է Trojan.Win32.Generic, սակայն այն պարունակում է նաև այլ բաղադրիչներ, ինչպիսիք են DangerousObject.Multi.GenericԵվ Փրկագին .Win 32.Gen.ftl.
Bad Rabbit - նոր փրկագին վիրուս
Դեռևս դժվար է ամբողջությամբ հետևել վարակի բոլոր աղբյուրներին, բայց մասնագետներն այժմ աշխատում են դրա վրա: Ենթադրաբար, սպառնալիքը համակարգիչ է մտնում վարակված կայքերի միջոցով, որոնք վերահղված են կամ Adobe Flash-ի նման հանրահայտ պլագինների կեղծ թարմացումների քողի տակ: Նման կայքերի ցանկը միայն ընդլայնվում է։
Հնարավո՞ր է հեռացնել վիրուսը և ինչպես պաշտպանվել:
Անմիջապես պետք է ասել, որ այս պահին բոլոր հակավիրուսային լաբորատորիաները սկսել են վերլուծել այս տրոյան։ Եթե դուք հատուկ տեղեկատվություն եք փնտրում վիրուսը հեռացնելու մասին, ապա դա, որպես այդպիսին, այդպես չէ: Միանգամից հրաժարվենք ստանդարտ խորհուրդներից՝ սարքեք համակարգի կրկնօրինակում, վերադարձի կետ, ջնջեք այսինչ ֆայլերը։ Եթե դուք չունեք սեյվեր, ապա մնացած ամեն ինչ չի աշխատում, հաքերները մտածել են նման պահերի մասին՝ պայմանավորված վիրուսի հստակեցմամբ։
Կարծում եմ, որ Bad Rabbit-ի համար սիրողականների պատրաստած ապակոդավորիչները շուտով կբաժանվեն. հետևում ես այս ծրագրերին, թե ոչ, դա քո գործն է: Ինչպես ցույց տվեց նախորդ փրկագին Petya-ն, սա քիչ մարդկանց է օգնում:
Բայց դուք կարող եք կանխել սպառնալիքը և հեռացնել այն, երբ փորձում եք մտնել համակարգիչ: Կասպերսկու և ESET լաբորատորիաներն առաջինն էին, ովքեր արձագանքեցին վիրուսի համաճարակի մասին հաղորդագրություններին, և նրանք արդեն արգելափակում են ներթափանցման փորձերը: Google Chrome բրաուզերը նույնպես սկսել է բացահայտել վարակված ռեսուրսները և զգուշացնել դրանց վտանգի մասին։ Ահա, թե ինչ պետք է անել՝ առաջին հերթին BadRabbit-ից պաշտպանվելու համար.
- Եթե դուք օգտագործում եք Kaspersky, ESET, Dr.Web կամ այլ հայտնի անալոգներ պաշտպանության համար, ապա անպայման պետք է թարմացնեք տվյալների բազաները: Բացի այդ, Kaspersky-ի համար դուք պետք է միացնեք «Activity Monitoring»-ը (System Watcher), իսկ ESET-ում կիրառեք ստորագրություններ 16295 թարմացումով:
- Եթե դուք չեք օգտագործում հակավիրուսներ, ապա դուք պետք է արգելափակեք ֆայլերի կատարումը C:\Windows\infpub.datԵվ C:\Windows\cscc.dat. Դա արվում է Group Policy Editor-ի կամ Windows-ի համար AppLocker ծրագրի միջոցով:
- Համոզվեք, որ կրկնօրինակեք ձեր համակարգը: Տեսականորեն պատճենը միշտ պետք է պահվի շարժական կրիչի վրա: Ահա մի կարճ վիդեո ձեռնարկ, թե ինչպես ստեղծել այն:
Ցանկալի է անջատել ծառայության կատարումը. Windows կառավարման գործիքավորում (WMI). Լավագույն տասնյակում ծառայությունը կոչվում է «Windows կառավարման գործիքավորում». Աջ կոճակի միջոցով մուտքագրեք ծառայության հատկությունները և ընտրեք in «Գործարկման տեսակը»ռեժիմ "Անաշխատունակ".
Եզրակացություն
Եզրափակելով՝ արժե ասել ամենագլխավորը՝ փրկագին չպետք է վճարեք՝ անկախ նրանից, թե ինչ եք ծածկագրել։ Նման գործողությունները միայն դրդում են խաբեբաներին նոր վիրուսային հարձակումներ ստեղծելու համար: Հետևեք հակավիրուսային ընկերությունների ֆորումներին, որոնք հուսով եմ շուտով կուսումնասիրեն Bad Rabbit վիրուսը և կգտնեն արդյունավետ հաբ: Համոզվեք, որ հետևեք վերը նշված քայլերին՝ ձեր ՕՀ-ն պաշտպանելու համար: Դրանց իրականացման դժվարությունների դեպքում բաժանորդագրվեք մեկնաբանություններում։
Երրորդ խոշոր կիբերհարձակումը մեկ տարվա ընթացքում. Այս անգամ վիրուս՝ Bad Rabbit նոր անունով և հին սովորություններով՝ տվյալների գաղտնագրում և գումարի շորթում՝ ապակողպման համար։ Իսկ տուժած տարածքում շարունակում են մնալ Ռուսաստանը, Ուկրաինան և ԱՊՀ որոշ այլ երկրներ։
Bad Rabbit-ը գործում է սովորական սխեմայով. այն ուղարկում է ֆիշինգ նամակ կցված վիրուսով կամ հղումով: Մասնավորապես, հարձակվողները կարող են ներկայանալ որպես Microsoft-ի տեխնիկական աջակցություն և խնդրել նրանց շտապ բացել կցված ֆայլը կամ հետևել հղմանը: Կա մեկ այլ բաշխման ուղի` կեղծ Adobe Flash Player-ի թարմացման պատուհան: Երկու դեպքում էլ Bad Rabbit-ը գործում է նույն կերպ, ինչ ոչ վաղ անցյալում սենսացիոնը՝ այն կոդավորում է զոհի տվյալները և պահանջում 0,05 բիթքոին փրկագին, որը կազմում է մոտավորապես 280 դոլար 2017 թվականի հոկտեմբերի 25-ի փոխարժեքով: Նոր համաճարակի զոհ են դարձել «Ինտերֆաքսը», «Ֆոնտանկայի» Սանկտ Պետերբուրգի հրատարակությունը, Կիևի մետրոպոլիտենը, Օդեսայի օդանավակայանը և Ուկրաինայի մշակույթի նախարարությունը։ Կան ապացույցներ, որ նոր վիրուսը փորձել է հարձակվել ռուսական մի քանի հայտնի բանկերի վրա, սակայն այս գաղափարը ձախողվել է։ Փորձագետները Bad Rabbit-ին կապում են այս տարի գրանցված նախորդ խոշոր հարձակումների հետ: Դրա ապացույցը Diskcoder.D-ի գաղտնագրման նմանատիպ ծրագրաշարն է, և սա նույն Petya ծածկագրիչն է՝ միայն մի փոքր փոփոխված:
Ինչպե՞ս պաշտպանվել ձեզ վատ նապաստակից:
Փորձագետները խորհուրդ են տալիս Windows համակարգիչների տերերին ստեղծել «infpub.dat» ֆայլը և տեղադրել այն «C» սկավառակի Windows թղթապանակում: Արդյունքում ճանապարհը պետք է այսպիսի տեսք ունենա՝ C:\windows\infpub.dat: Դա կարելի է անել սովորական նոթատետրով, բայց Ադմինիստրատորի իրավունքներով: Դա անելու համար մենք գտնում ենք Notepad ծրագրի հղումը, սեղմում ենք աջը և ընտրում «Գործարկել որպես ադմինիստրատոր»:
Այնուհետև պարզապես պետք է այս ֆայլը պահել C:\windows\ հասցեում, այսինքն՝ C սկավառակի Windows թղթապանակում: Ֆայլի անուն՝ infpub.dat, որի ընդլայնումն է «dat»: Մի մոռացեք փոխարինել նոթատետրի լռելյայն «txt» ընդլայնումը «dat»-ով: Ֆայլը պահելուց հետո բացեք Windows թղթապանակը, գտեք ստեղծված infpub.dat ֆայլը, աջ սեղմեք դրա վրա և ընտրեք «Հատկություններ», որտեղ հենց ներքևում պետք է նշեք «Միայն կարդալը»: Այսպիսով, նույնիսկ եթե դուք բռնեք Bad Rabbit վիրուսը, այն չի կարողանա գաղտնագրել ձեր տվյալները:
Կանխարգելիչ միջոցառումներ
Մի մոռացեք, որ դուք կարող եք պաշտպանվել ցանկացած վիրուսից՝ պարզապես հետևելով որոշակի կանոնների։ Դա սովորական է հնչում, բայց երբեք բաց նամակներ, և առավել եւս դրանց կցորդները, եթե հասցեն ձեզ կասկածելի է թվում: Ֆիշինգ նամակները, այսինքն՝ դիմակավորվելը որպես այլ ծառայություններ, վարակի ամենատարածված մեթոդն է: Զգույշ եղեք, թե ինչ եք բացում: Եթե կից ֆայլը նամակում կոչվում է «Կարևոր փաստաթուղթ.docx_______.exe», ապա դուք հաստատ չպետք է բացեք այս ֆայլը: Բացի այդ, դուք պետք է ունենաք կարևոր ֆայլերի կրկնօրինակներ: Օրինակ, լուսանկարներով կամ աշխատանքային փաստաթղթերով ընտանեկան արխիվը կարող է կրկնօրինակվել արտաքին սկավառակի կամ ամպային պահեստի վրա: Մի մոռացեք, թե որքան կարևոր է օգտագործել Windows-ի լիցենզավորված տարբերակը և պարբերաբար թարմացումներ տեղադրել: Անվտանգության patches-ը թողարկվում է Microsoft-ի կողմից կանոնավոր հիմունքներով, և նրանք, ովքեր տեղադրում են դրանք, նման վիրուսների հետ խնդիրներ չունեն:
Այս տարվա հոկտեմբերի վերջը նշանավորվեց նոր վիրուսի ի հայտ գալով, որն ակտիվորեն գրոհում էր կորպորատիվ և տնային օգտատերերի համակարգիչները։ Նոր վիրուսը փրկագին է և կոչվում է Bad Rabbit, որը նշանակում է վատ նապաստակ: Այս վիրուսի միջոցով հարձակման են ենթարկվել ռուսական մի քանի լրատվամիջոցների կայքեր։ Ավելի ուշ վիրուսը հայտնաբերվել է նաև ուկրաինական ձեռնարկությունների տեղեկատվական ցանցերում։ Այնտեղ հարձակման են ենթարկվել մետրոյի, տարբեր նախարարությունների, միջազգային օդանավակայանների տեղեկատվական ցանցերը և այլն։ Քիչ անց նմանատիպ վիրուսային հարձակում նկատվեց Գերմանիայում և Թուրքիայում, թեև դրա ակտիվությունը զգալիորեն ցածր էր, քան Ուկրաինայում և Ռուսաստանում։
Վնասակար վիրուսը հատուկ plug-in է, որը համակարգիչ մտնելուց հետո գաղտնագրում է նրա ֆայլերը: Երբ տեղեկատվությունը ծածկագրված է, հարձակվողները փորձում են օգտատերերից պարգևներ ստանալ՝ իրենց տվյալները վերծանելու համար:
Վիրուսի տարածում
ESET հակավիրուսային մշակման լաբորատորիայի մասնագետները վերլուծել են վիրուսի տարածման ուղու ալգորիթմը և եկել այն եզրակացության, որ դա փոփոխված վիրուս է, որը տարածվել է Petya վիրուսի նման ոչ վաղ անցյալում։
ESET լաբորատորիայի փորձագետները հաշվարկել են, որ վնասակար փլագինները տարածվել են 1dnscontrol.com ռեսուրսից և IP5.61.37.209 IP հասցեից։ Մի քանի այլ ռեսուրսներ նույնպես կապված են այս տիրույթի և IP-ի հետ, այդ թվում՝ safe-check.host, webcheck01.net, safeinbox.email, webdefense1.net, safe-dns1.net, firewebmail.com:
Մասնագետները պարզել են, որ այդ կայքերի տերերը գրանցել են բազմաթիվ տարբեր ռեսուրսներ, օրինակ՝ դրանք, որոնց միջոցով սպամի միջոցով փորձում են կեղծ դեղեր վաճառել։ ESET-ի մասնագետները չեն բացառում, որ հենց այդ ռեսուրսների միջոցով է իրականացվել սպամի և ֆիշինգի միջոցով հիմնական կիբերհարձակումը։
Ինչպե՞ս է վարակվում Bad Rabbit վիրուսը:
Համակարգչային դատաբժշկական լաբորատորիայի մասնագետները հետաքննել են, թե ինչպես է վիրուսը հայտնվել օգտատերերի համակարգիչների վրա։ Պարզվել է, որ շատ դեպքերում Bad Rabbit ransomware վիրուսը տարածվել է որպես Adobe Flash-ի թարմացում։ Այսինքն՝ վիրուսը չի օգտագործել օպերացիոն համակարգի ոչ մի խոցելիություն, այլ տեղադրվել է հենց օգտատերերի կողմից, որոնք, անտեղյակ լինելով այդ մասին, հաստատել են դրա տեղադրումը, կարծելով, որ թարմացնում են Adobe Flash փլագինը։ Երբ վիրուսը մտնում էր տեղական ցանց, այն հիշողությունից գողանում էր մուտքերն ու գաղտնաբառերը և ինքնուրույն տարածվում այլ համակարգչային համակարգերի վրա:
Ինչպես են հաքերները գումար շորթում
Փրկագին վիրուսը համակարգչում տեղադրվելուց հետո այն կոդավորում է պահված տեղեկատվությունը: Այնուհետև օգտատերերը ստանում են հաղորդագրություն, որում նշվում է, որ իրենց տվյալներին մուտք գործելու համար նրանք պետք է վճարեն նշված մութ կայքում: Դա անելու համար նախ անհրաժեշտ է տեղադրել հատուկ Tor բրաուզեր: Այն բանի համար, որ համակարգիչը ապակողպվելու է, հարձակվողները շորթում են 0,05 բիթքոյնի չափով վճարում։ Այսօր, 1 բիթքոյնի համար 5600 դոլար գնով, սա մոտավորապես 280 դոլար է համակարգիչը բացելու համար: Վճարում կատարելու համար օգտատիրոջը տրվում է 48 ժամին հավասար ժամկետ։ Նշված ժամկետից հետո, եթե պահանջվող գումարը չի փոխանցվել հարձակվողի էլեկտրոնային հաշվին, գումարն ավելանում է։
Ինչպես պաշտպանվել ձեզ վիրուսից
- Bad Rabbit վիրուսով վարակվելուց պաշտպանվելու համար դուք պետք է արգելափակեք մուտքը տեղեկատվական միջավայրից դեպի վերը նշված տիրույթներ:
- Տնային օգտագործողների համար դուք պետք է թարմացնեք Windows-ի ընթացիկ տարբերակը, ինչպես նաև հակավիրուսային ծրագիրը: Այս դեպքում վնասակար ֆայլը կհայտնաբերվի որպես փրկագին վիրուս, ինչը կբացառի դրա տեղադրման հնարավորությունը համակարգչում։
- Այն օգտվողները, ովքեր օգտվում են Windows օպերացիոն համակարգի ներկառուցված հակավիրուսից, արդեն պաշտպանություն ունեն այդ փրկագիններից: Այն ներդրված է Windows Defender հակավիրուսային հավելվածում։
- Կասպերսկու լաբորատորիայի հակավիրուսային ծրագրի մշակողները բոլոր օգտատերերին խորհուրդ են տալիս պարբերաբար կրկնօրինակել իրենց տվյալները։ Բացի այդ, փորձագետները խորհուրդ են տալիս արգելափակել c:\windows\infpub.dat, c:\WINDOWS\cscc.dat ֆայլերի կատարումը և, հնարավորության դեպքում, անջատել WMI ծառայության օգտագործումը:
Եզրակացություն
Համակարգչային օգտվողներից յուրաքանչյուրը պետք է հիշի, որ ցանցում աշխատելիս առաջին տեղում պետք է լինի կիբերանվտանգությունը: Հետևաբար, դուք միշտ պետք է վերահսկեք միայն ստուգված տեղեկատվական ռեսուրսների օգտագործումը և ուշադիր օգտագործեք էլ. փոստը և սոցիալական ցանցերը: Հենց այս ռեսուրսների միջոցով է ամենից հաճախ իրականացվում տարբեր վիրուսների տարածումը։ Տեղեկատվական միջավայրում վարքագծի տարրական կանոնները կվերացնեն վիրուսի հարձակման ժամանակ առաջացող խնդիրները։
Bad Rabbit գաղտնագրման վիրուսը, որի վրա հարձակվել են ռուսական լրատվամիջոցները նախօրեին, փորձել է նաև հարձակվել ռուսական բանկերի վրա լավագույն 20-ից, Forbes-ին հայտնել է Group-IB-ը, որը հետաքննում և կանխում է կիբերհանցագործությունները: Ընկերության ներկայացուցիչը հրաժարվել է ճշտել վարկային կազմակերպությունների վրա հարձակումների մասին մանրամասներ՝ բացատրելով, որ Group-IB-ը չի բացահայտում իր ներխուժման հայտնաբերման համակարգը օգտագործող հաճախորդների մասին տեղեկատվություն։
Կիբերանվտանգության փորձագետների տվյալներով՝ ռուսական բանկերի ենթակառուցվածքները վիրուսով վարակելու փորձեր են տեղի ունեցել հոկտեմբերի 24-ին՝ Մոսկվայի ժամանակով ժամը 13։00-ից մինչև 15։00-ն։ Group-IB-ը կարծում է, որ կիբերհարձակումները ցույց են տվել ավելի լավ պաշտպանվածություն բանկերի համար՝ համեմատած ոչ բանկային հատվածի ընկերությունների հետ: Ավելի վաղ ընկերությունը հայտնել էր, որ ռուսական լրատվամիջոցների վրա հարձակվել է նոր փրկագին վիրուսը, որը հավանաբար կապված է NotPetya փրկագնի հունիսյան համաճարակի հետ (սա նշվում է ծածկագրում զուգադիպություններով): Խոսքը «Ինտերֆաքս» գործակալության տեղեկատվական համակարգերի, ինչպես նաեւ Սանկտ Պետերբուրգի Fontanka լրատվական պորտալի սերվերների մասին էր։ Բացի այդ, վիրուսը հարվածել է Կիևի մետրոյի, Ուկրաինայի ենթակառուցվածքների նախարարության և Օդեսայի միջազգային օդանավակայանի համակարգերին։ NotPetya-ն այս ամառ հարվածել է էներգետիկ, հեռահաղորդակցության և ֆինանսական ընկերություններին հիմնականում Ուկրաինայում: BadRabbit վիրուսով վարակված ֆայլերի գաղտնազերծման համար հարձակվողները պահանջում են 0,05 բիթքոյն, որը ներկայիս փոխարժեքով մոտավորապես համարժեք է $283-ին կամ 15700 ռուբլու։
«Կասպերսկու լաբորատորիան» պարզաբանել է, որ այս անգամ զոհերի մեծ մասն ընտրել են Ռուսաստանում հաքերները։ Սակայն նմանատիպ հարձակումներ ընկերությունում գրանցվել են Ուկրաինայում, Թուրքիայում և Գերմանիայում, բայց «շատ ավելի փոքր քանակությամբ»։ «Բոլոր նշանները ցույց են տալիս, որ սա նպատակային հարձակում է կորպորատիվ ցանցերի վրա: Օգտագործվում են այնպիսի մեթոդներ, ինչպիսին մենք նկատեցինք ExPetr-ի հարձակման ժամանակ, սակայն մենք չենք կարող հաստատել կապը ExPetr-ի հետ»,- ասել է ընկերության ներկայացուցիչը։ Forbes-ի զրուցակիցը հավելել է, որ Kaspersky Lab-ի բոլոր արտադրանքները «հայտնաբերում են այս վնասակար ֆայլերը որպես UDS:DangerousObject.Multi.Generic»։
Ինչպե՞ս պաշտպանվել ինքներդ:
Այս հարձակումից պաշտպանվելու համար «Կասպերսկու լաբորատորիան» խորհուրդ է տվել օգտագործել հակավիրուս՝ միացված KSN-ով և System Monitor մոդուլ: «Եթե Kaspersky Lab-ի անվտանգության լուծումը տեղադրված չէ, խորհուրդ ենք տալիս չթույլատրել c:\windows\infpub.dat և C:\Windows\cscc.dat անուններով ֆայլերի կատարումը` օգտագործելով համակարգի կառավարման գործիքները», - խորհուրդ է տվել հակահամակարգի ղեկավարը: Վյաչեսլավ Զակորժևսկի «Կասպերսկու լաբորատորիայում» վիրուսների հետազոտման բաժին.
Group-IB-ը նշում է, որ որպեսզի վիրուսը չկարողանա գաղտնագրել ֆայլերը, «դուք պետք է ստեղծեք C:\windows\infpub.dat ֆայլը և սահմանեք այն միայն կարդալու համար»: Դրանից հետո, նույնիսկ եթե վարակված լինեն, ֆայլերը չեն գաղտնագրվի, նշել են ընկերությունում։ Միևնույն ժամանակ, դուք պետք է անհապաղ մեկուսացնեք այն համակարգիչները, որոնք նման վնասակար ֆայլեր են ուղարկում, որպեսզի խուսափեք ցանցին միացված այլ համակարգիչների լայնածավալ վարակումից: Դրանից հետո օգտվողները պետք է համոզվեն, որ հիմնական ցանցային հանգույցների կրկնօրինակները արդիական են և անձեռնմխելի:
Երբ նախնական քայլերն ավարտվեն, օգտատիրոջը խորհուրդ է տրվում թարմացնել օպերացիոն համակարգերը և անվտանգության համակարգերը՝ միաժամանակ արգելափակելով IP հասցեները և տիրույթի անունները, որոնցից տարածվել են վնասակար ֆայլերը: Group-IB-ն առաջարկում է բոլոր գաղտնաբառերը փոխել ավելի բարդ գաղտնաբառերի և ստեղծել թռուցիկների արգելափակում, ինչպես նաև արգելել գաղտնաբառերի պահպանումը LSA Dump-ում հստակ տեքստով:
Ո՞վ է կանգնած BadRabbit-ի հարձակման հետևում
2017 թվականին արդեն գրանցվել են փրկագինների երկու խոշորագույն համաճարակներ՝ WannaCry (հարձակվել է 200,000 համակարգչի վրա 150 երկրներում) և ExPetr-ը: Վերջինս Պետյա է և միաժամանակ NotPetya, նշում է Կասպերսկու լաբորատորիան։ Այժմ, ըստ ընկերության, «սկսվում է երրորդը»։ Նոր Bad Rabbit փրկագինի անունը «գրված է մութ ցանցի մի էջի վրա, որն ուղարկում են դրա ստեղծողները՝ մանրամասներ հարցնելու համար», - ասել է ընկերությունը: Group-IB-ը կարծում է, որ Bad Rabbit-ը NotPetya-ի փոփոխված տարբերակ է՝ գաղտնագրման ալգորիթմում սխալների շտկմամբ: Մասնավորապես, Bad Rabbit կոդը ներառում է բլոկներ, որոնք ամբողջությամբ կրկնում են NotPetya-ն։
ESET Russia-ն համաձայն է, որ հարձակման ժամանակ օգտագործվող Win32/Diskcoder.D չարամիտ ծրագիրը Win32/Diskcoder.C-ի փոփոխված տարբերակն է, որն ավելի հայտնի է որպես Petya/NotPetya: Ինչպես Forbes-ին հայտնել է ESET Russia-ի վաճառքի աջակցության ղեկավար Վիտալի Զեմսկիխը, հարձակումների վիճակագրությունն ըստ երկրների «մեծ մասամբ համապատասխանում է վնասակար JavaScript պարունակող կայքերի աշխարհագրական բաշխմանը»: Այսպիսով, վարակվածների մեծ մասը գրանցվել է Ռուսաստանում (65%), որին հաջորդում են Ուկրաինան (12,2%), Բուլղարիան (10,2%), Թուրքիան (6,4%) և Ճապոնիան (3,8%)։
Bad Rabbit վիրուսով վարակումը տեղի է ունեցել կոտրված կայքեր այցելելուց հետո։ Հաքերները ներբեռնել են JavaScript-ի ներարկում HTML կոդի վտանգված ռեսուրսների վրա, որը այցելուներին ցույց է տվել կեղծ պատուհան, որն առաջարկում է թարմացում տեղադրել Adobe Flash նվագարկչի համար: Եթե օգտատերը համաձայնել է թարմացմանը, ապա համակարգչում տեղադրվել է «install_flash_player.exe» անունով վնասակար ֆայլ։ «Կազմակերպությունում աշխատանքային կայանը վարակելով՝ ծածկագրիչը կարող է տարածվել կորպորատիվ ցանցի ներսում SMB արձանագրության միջոցով: Ի տարբերություն իր նախորդի՝ Petya/NotPetya-ի, Bad Rabbit-ը չի օգտագործում EthernalBlue-ի շահագործումը, փոխարենը՝ այն սկանավորում է ցանցը՝ բացահայտված ցանցային ռեսուրսների համար», - ասում է Զեմսկիխը: Հաջորդը, Mimikatz գործիքը գործարկվում է վարակված մեքենայի վրա՝ հավատարմագրերը հավաքելու համար: Բացի այդ, տրամադրվում է մուտքերի և գաղտնաբառերի կոշտ կոդավորված ցուցակ:
Առայժմ տեղեկություններ չկան, թե ովքեր են կազմակերպել հաքերային հարձակումները։ Միևնույն ժամանակ, ըստ Group-IB-ի, WannaCry-ի և NotPetya-ի նմանատիպ զանգվածային հարձակումները կարող են կապված լինել կառավարության կողմից ֆինանսավորվող հաքերային խմբերի հետ: Փորձագետները նման եզրակացություն են անում՝ հիմք ընդունելով, որ նման հարձակումներից ֆինանսական օգուտը, համեմատած դրանց իրականացման բարդության հետ, «չնչին» է։ «Ամենայն հավանականությամբ, դրանք փող աշխատելու փորձեր չէին, այլ ստուգելու ձեռնարկությունների, պետական գերատեսչությունների և մասնավոր ընկերությունների կարևոր ենթակառուցվածքների ցանցերի պաշտպանվածության մակարդակը»,- եզրակացնում են փորձագետները։ Group-IB-ի խոսնակը հաստատել է Forbes-ին, որ վերջին վիրուսը՝ Bad Rabbit-ը, կարող է լինել պետական և բիզնես ենթակառուցվածքների պաշտպանության թեստ: «Այո, հնարավոր է։ Հաշվի առնելով, որ հարձակումներն իրականացվել են կետային՝ ենթակառուցվածքի կարևոր օբյեկտների՝ օդանավակայանի, մետրոյի, պետական կառույցների վրա»,- բացատրում է Forbes-ի զրուցակիցը։
Պատասխանելով վերջին հարձակման հեղինակների մասին հարցին՝ ESET Russia-ն ընդգծում է, որ օգտագործելով միայն հակավիրուսային ընկերության գործիքները՝ անհնար է որակյալ հետաքննություն անցկացնել և բացահայտել ներգրավվածներին, դա այլ մասնագետների խնդիրն է։ պրոֆիլը. «Որպես հակավիրուսային ընկերություն՝ մենք բացահայտում ենք հարձակումների մեթոդներն ու թիրախները, հարձակվողների վնասակար գործիքները, խոցելիությունը և շահագործումը: Հանցագործների, նրանց դրդապատճառների, ազգության և այլնի որոնումը մեր պարտականությունը չէ», - ասաց ընկերության ներկայացուցիչը՝ խոստանալով հետաքննության արդյունքներով եզրակացություններ անել Bad Rabbit-ի նշանակման վերաբերյալ: «Ցավոք, մոտ ապագայում մենք ականատես կլինենք բազմաթիվ նման միջադեպերի. այս հարձակման վեկտորն ու սցենարը ցույց են տվել բարձր արդյունավետություն», - կանխատեսում է ESET Russia-ն։ Forbes-ի զրուցակիցը հիշեցնում է, որ 2017 թվականին ընկերությունը կանխատեսել էր կորպորատիվ հատվածի, առաջին հերթին ֆինանսական կազմակերպությունների վրա թիրախային հարձակումների քանակի աճ (նախնական գնահատականներով ավելի քան 50%-ով)։ «Այս կանխատեսումներն այժմ իրականանում են, մենք տեսնում ենք հարձակումների թվի աճ՝ զուգակցված տուժած ընկերությունների վնասի ավելացման հետ», - խոստովանում է նա:
