Ieri, 24 octombrie 2017, mare Mass-media rusă, precum și o serie de agenții guvernamentale ucrainene de către atacatori necunoscuți. Printre victime se numără Interfax, Fontanka și cel puțin o altă publicație online fără nume. În urma presei, au fost semnalate și probleme aeroport internațional„Odesa”, Metroul Kiev și Ministerul Infrastructurii din Ucraina. Potrivit unui comunicat al analiștilor Group-IB, infractorii au încercat și ei să atace infrastructura bancară, dar aceste încercări au fost fără succes. Specialiștii ESET susțin, la rândul lor, că atacurile au afectat utilizatori din Bulgaria, Turcia și Japonia.
După cum sa dovedit, întreruperile în activitatea companiilor și agențiilor guvernamentale au fost cauzate nu de atacuri masive DDoS, ci de un ransomware numit Bad Rabbit (unii experți preferă să scrie BadRabbit fără spațiu).
Ieri, se știa puțin despre malware și mecanismele de funcționare a acestuia: s-a raportat că ransomware-ul cere o răscumpărare de 0,05 bitcoin, iar experții Group-IB au mai spus că atacul se pregătește de câteva zile. Astfel, pe site-ul atacatorilor au fost descoperite două scripturi JS, iar, judecând după informațiile de pe server, unul dintre ele a fost actualizat pe 19 octombrie 2017.
Acum, deși nu a trecut nici măcar o zi de la începutul atacurilor, analiza ransomware-ului a fost deja efectuată de specialiști din aproape toate companiile de top în securitatea informațiilor din lume. Deci, ce este Bad Rabbit și ar trebui să ne așteptăm la o nouă „epidemie de ransomware” precum WannaCry sau NotPetya?
Cum a reușit Bad Rabbit să provoace întreruperi majore de media cu actualizări false Flash? Conform ESET , EmsisoftȘi Fox-IT, după infectare, malware-ul folosea utilitarul Mimikatz pentru a extrage parolele din LSASS și avea, de asemenea, o listă cu cele mai comune autentificări și parole. Malware-ul a folosit toate acestea pentru a se răspândi prin SMB și WebDAV către alte servere și stații de lucru situate în aceeași rețea cu dispozitivul infectat. În același timp, experții din companiile enumerate mai sus și angajații Cisco Talos cred că în acest caz, nu au existat instrumente furate de la agențiile de informații care să exploateze defectele IMM-urilor. Permiteți-mi să vă reamintesc că virușii WannaCry și NotPetya au fost răspândiți folosind acest exploit special.
Cu toate acestea, experții au reușit totuși să găsească unele asemănări între Bad Rabbit și Petya (NotPetya). Astfel, ransomware-ul nu numai că criptează fișierele utilizatorului folosind open source DiskCryptor, dar modifică MBR (Master Boot Record), după care repornește computerul și afișează un mesaj de răscumpărare pe ecran.
Deși mesajul cu revendicările atacatorilor este aproape identic cu mesajul de la operatorii NotPetya, experții au păreri ușor diferite cu privire la legătura dintre Bad Rabbit și NotPetya. Astfel, analiștii de la Intezer au calculat că codul sursă al malware-ului
Salutări, dragi vizitatori și oaspeți ai acestui blog! Astăzi a apărut un alt virus ransomware în lume numit: „ Iepure rău» — « Iepurașul rău". Acesta este al treilea ransomware de profil înalt din 2017. Cele anterioare au fost și (alias NotPetya).
Bad Rabbit - Cine a suferit deja și cere mulți bani?
Până acum, mai multe instituții de presă ruse ar fi suferit din cauza acestui ransomware - printre care Interfax și Fontanka. Aeroportul din Odesa raportează și un atac de hacker - posibil legat de același iepure rău.
Pentru decriptarea fișierelor, atacatorii cer 0,05 bitcoin, care la cursul de schimb actual este aproximativ echivalent cu 283 de dolari sau 15.700 de ruble.
Rezultatele cercetărilor Kaspersky Lab indică faptul că atacul nu folosește exploit-uri. Bad Rabbit se răspândește prin site-uri web infectate: utilizatorii descarcă un program de instalare fals Adobe Flash, îl lansează manual și, prin urmare, le infectează computerele.
Potrivit Kaspersky Lab, experții investighează acest atac și caută modalități de a-l combate, precum și posibilitatea de a decripta fișierele afectate de ransomware.
Majoritatea victimelor atacului se află în Rusia. Se mai stie ca atacuri similare apar în Ucraina, Turcia și Germania, dar în număr mult mai mic. Criptograf Iepure rău se răspândește printr-un număr de site-uri media rusești infectate.
Kapersky Lab consideră că toate semnele indică faptul că acesta este un atac țintit asupra rețelelor corporative. Sunt folosite metode similare cu cele observate de noi în atacul ExPetr, dar nu putem confirma conexiunea cu ExPetr.
Se știe deja că produsele Kaspersky Lab detectează una dintre componentele malware folosind un serviciu cloud Kaspersky Security Rețea ca UDS:DangerousObject.Multi.Generic și, de asemenea, cu folosind System Watcher ca PDM:Trojan.Win32.Generic.
Cum să te protejezi de virusul Bad Rabbit?
Pentru a evita să deveniți o victimă a noii epidemii „Bad Bunny”, „ Kaspersky Lab„Recomandăm să faceți următoarele:
Dacă aveți instalat Kaspersky Anti-Virus, atunci:
- Verificați dacă componentele Kaspersky Security Network și Activity Monitor (alias System Watcher) sunt activate în soluția dvs. de securitate. Dacă nu, asigurați-vă că îl porniți.
Pentru cei care nu au acest produs:
- Blocați execuția fișierului c:\windows\infpub.dat, C:\Windows\cscc.dat. Acest lucru se poate face prin .
- Dezactivați (dacă este posibil) utilizarea serviciului WMI.
Încă foarte sfat important de la mine:
Fă-o mereu backup (backup - copie de rezervă ) fișiere care sunt importante pentru dvs. Pe medii amovibile, în servicii cloud! Acest lucru vă va economisi nervii, banii și timpul!
Vă doresc să nu prindeți această infecție pe computer. Aveți un internet curat și sigur!
Al treilea atac cibernetic la scară largă într-un an. De data aceasta, virusul are un nou nume, Bad Rabbit, și vechi obiceiuri: criptarea datelor și extorcarea de bani pentru deblocare. Și Rusia, Ucraina și alte câteva țări CSI sunt încă în zona afectată.
The Bad Rabbit urmează modelul obișnuit: trimite un e-mail de phishing cu un virus sau un link atașat. În special, atacatorii pot prezenta drept suport tehnic Microsoft și vă pot cere să deschideți urgent un fișier atașat sau să urmați un link. Există o altă rută de distribuție - o fereastră de actualizare Adobe falsă. Flash Player. În ambele cazuri, Bad Rabbit acționează în același mod ca cel senzațional, nu cu mult timp în urmă, criptează datele victimei și solicită o răscumpărare de 0,05 bitcoin, care este de aproximativ 280 USD la cursul de schimb din 25 octombrie 2017. Victimele noii epidemii au fost Interfax, publicația din Sankt Petersburg Fontanka, Metropolitan Kiev, aeroportul Odesa și Ministerul Culturii al Ucrainei. Există dovezi că virus nou a încercat să atace mai multe bănci rusești cunoscute, dar această idee a eșuat. Experții leagă Bad Rabbit de atacurile majore anterioare înregistrate în acest an. Dovadă în acest sens este software-ul de criptare similar Diskcoder.D, și acesta este același Ransomware Petya, doar putin modificate.
Cum să te protejezi de Bad Rabbit?
Experții recomandă proprietarilor calculatoare Windows creați un fișier „infpub.dat” și plasați-l în folderul Windows pe unitatea „C”. Ca rezultat, calea ar trebui să arate astfel: C:\windows\infpub.dat. Acest lucru se poate face folosind un notepad obișnuit, dar cu drepturi de administrator. Pentru a face acest lucru, găsiți un link către programul Notepad, faceți clic dreapta și selectați „Run as Administrator”.
Apoi trebuie doar să salvați acest fișier la adresa C:\windows\, adică în folderul Windows de pe unitatea „C”. Nume fișier: infpub.dat, „dat” fiind extensia fișierului. Nu uitați să înlocuiți extensia standard de notepad „txt” cu „dat”. După ce salvați fișierul, deschideți folderul Windows, găsiți fișierul infpub.dat creat, faceți clic dreapta pe el și selectați „Proprietăți”, unde în partea de jos trebuie să bifați caseta de selectare „Numai citire”. În acest fel, chiar dacă prindeți virusul Bad Bunny, acesta nu vă va putea cripta datele.
Măsuri preventive
Nu uitați că vă puteți proteja de orice virus pur și simplu urmând anumite reguli. Poate suna banal, dar nu deschide niciodată e-mailurile, cu atât mai puțin atașamentele lor, dacă adresa ți se pare suspectă. E-mailurile de tip phishing, adică mascarada ca alte servicii, sunt cea mai comună metodă de infectare. Ai grijă ce deschizi. Dacă într-un e-mail fișierul atașat se numește „Important document.docx_______.exe”, atunci cu siguranță nu ar trebui să deschideți acest fișier. În plus, trebuie să aveți copii de rezervă ale fișierelor importante. De exemplu arhiva familiei cu fotografii sau documente de lucru pot fi duplicate pe o unitate externă sau stocare în cloud. Nu uitați cât de important este să folosiți o licență Versiunea Windowsși instalați actualizări în mod regulat. Patch-urile de securitate sunt lansate de Microsoft în mod regulat, iar cei care le instalează nu au probleme cu astfel de viruși.
Virusul ransomware Bad Rabbit sau Diskcoder.D. atacă rețelele corporative ale organizațiilor mari și mijlocii, blocând toate rețelele.
Bad Rabbit sau „rău iepure” cu greu poate fi numit un pionier - a fost precedat de virușii de criptare Petya și WannaCry.
Bad Rabbit - ce fel de virus
Experții companiei antivirus ESET au investigat răspândirea noului virus și au descoperit că Bad Rabbit a pătruns în computerele victimelor sub masca unei actualizări de browser Adobe Flash.
Compania de antivirus consideră că criptatorul Win32/Diskcoder.D, numit Bad Rabbit, este versiune modificată Win32/Diskcoder.C, mai cunoscut sub numele de Petya/NotPetya, care a lovit sistemele IT ale organizațiilor din mai multe țări în iunie. Legătura dintre Bad Rabbit și NotPetya este indicată de potriviri în cod.
Atacul folosește programul Mimikatz, care interceptează datele de conectare și parolele de pe mașina infectată. De asemenea, în cod sunt deja înregistrate login-uri și parole pentru încercările de a obține acces administrativ.
Noul program rău intenționat corectează erorile de criptare a fișierelor - codul folosit în virus este conceput pentru a cripta unitățile logice, unitățile USB externe și imaginile CD/DVD, precum și partițiile de disc de sistem bootabile. Așadar, experții în decriptare vor trebui să petreacă mult timp pentru a descoperi secretul virusului Bad Rabbit, spun experții.
Noul virus, potrivit experților, funcționează după o schemă standard pentru criptoare - intrând în sistem de nicăieri, codifică fișiere, pentru a căror criptare hackerii cer o răscumpărare în bitcoins.
Deblocarea unui computer va costa 0,05 bitcoin, adică aproximativ 283 USD la cursul de schimb actual. Dacă răscumpărarea este plătită, escrocii vor trimite un cod de cheie special care vă va permite să restabiliți funcționarea normală a sistemului și să nu pierdeți totul.
Dacă utilizatorul nu transferă fonduri în 48 de ore, valoarea răscumpărării va crește.
Dar, merită să ne amintim că plata unei răscumpări poate fi o capcană care nu garantează că computerul va fi deblocat.
ESET observă că în prezent nu există nicio conexiune între malware și serverul de la distanță.
Virusul a afectat cel mai mult utilizatorii ruși și, într-o măsură mai mică, companiile din Germania, Turcia și Ucraina. Răspândirea s-a produs prin medii infectate. Site-urile infectate cunoscute au fost deja blocate.
ESET consideră că statisticile atacurilor sunt în mare măsură consistente distribuție geografică site-uri care conțin JavaScript rău intenționat.
Cum să te protejezi
Specialiștii de la Group-IB, care este implicat în prevenirea și investigarea criminalității cibernetice, au oferit recomandări despre cum să te protejezi de virusul Bad Rabbit.
În special, pentru a vă proteja împotriva unui dăunător online, trebuie să creați fișierul C:\windows\infpub.dat pe computer și să setați drepturi de numai citire pentru acesta în secțiunea de administrare.
Această acțiune va bloca execuția fișierului, iar toate documentele care sosesc din exterior nu vor fi criptate chiar dacă sunt infectate. Este necesar să creați o copie de rezervă a tuturor datelor valoroase, astfel încât în caz de infecție să nu o pierdeți.
Specialiștii Group-IB recomandă, de asemenea, blocarea adreselor IP și a numelor de domenii din care au fost distribuite fișiere rău intenționate și blocarea ferestrelor pop-up pentru utilizatori.
De asemenea, se recomandă izolarea rapidă a computerelor într-un sistem de detectare a intruziunilor. Utilizatorii de PC-uri ar trebui să verifice, de asemenea, relevanța și integritatea copii de rezervă noduri de rețea cheie și actualizare OSși sisteme de securitate.
„În ceea ce privește politica de parole: setări Politica de grup dezactivați stocarea parolelor în LSA Dump in formă deschisă. Schimbați toate parolele cu altele complexe”, a adăugat compania.
Predecesorii
Virusul WannaCry s-a răspândit în cel puțin 150 de țări în mai 2017. El a criptat informațiile și a cerut să plătească o răscumpărare, potrivit diverselor surse, de la 300 la 600 de dolari.
Peste 200 de mii de utilizatori au fost afectați de aceasta. Potrivit unei versiuni, creatorii săi au luat drept bază malware US NSA Eternal Blue.
Atacul global ransomware Petya din 27 iunie a lovit sistemele IT ale companiilor din mai multe țări din întreaga lume, inclusiv într-o măsură mai mare care afectează Ucraina.
Au fost atacate computere din petrol, energie, telecomunicații, companii farmaceutice, precum și agenții guvernamentale. Poliția cibernetică ucraineană a declarat că atacul ransomware a avut loc prin programul M.E.doc.
Materialul a fost pregătit pe baza surselor deschise
