Det kan vara ett förebud om den tredje vågen av ransomware-virus, enligt Kaspersky Lab. De två första var sensationella WannaCry och Petya (aka NotPetya). Cybersäkerhetsexperter pratade med MIR 24 om uppkomsten av ett nytt skadligt nätverk och hur man försvarar sig mot dess kraftfulla attack.
De flesta offren för attacken med Bad Rabbit befinner sig i Ryssland. På Ukrainas, Turkiets och Tysklands territorium finns det mycket färre av dem, sa chefen för antivirusforskningsavdelningen vid Kaspersky Lab Vyacheslav Zakorzhevsky. Förmodligen visade sig de länder där användare aktivt följer ryska internetresurser vara de näst mest aktiva.
När skadlig programvara infekterar en dator krypterar den filer på den. Den sprids via webbtrafik från hackade internetresurser, bland vilka huvudsakligen var webbplatser för federala ryska medier, samt datorer och servrar för Kievs tunnelbana, det ukrainska ministeriet för infrastruktur och Odessas internationella flygplats. Ett misslyckat försök att attackera ryska banker från topp 20 registrerades också.
Att Fontanka, Interfax och ett antal andra publikationer attackerades av Bad Rabbit rapporterades i går av Group-IB, ett företag specialiserat på informationssäkerhet. Analys av viruskoden visade det Bad Rabbit förknippas med Not Petya ransomware, som i juni i år attackerade energi-, telekommunikations- och finansföretag i Ukraina.
Attacken var förberedd i flera dagar och trots infektionens omfattning krävde ransomware relativt små belopp från offren för attacken - 0,05 bitcoins (detta är cirka 283 dollar eller 15 700 rubel). Du har 48 timmar på dig att lösa in. Efter utgången av denna period ökar beloppet.
Group-IB-specialister tror att hackarna med största sannolikhet inte har för avsikt att tjäna pengar. Deras troliga mål är att testa skyddsnivån för kritiska infrastrukturnätverk för företag, statliga myndigheter och privata företag.
Det är lätt att bli attackerad
När en användare besöker en infekterad webbplats skickar den skadliga koden information om användaren till en fjärrserver. Därefter visas ett popup-fönster som ber dig att ladda ner en uppdatering för Flash Player, som är falsk. Om användaren godkände "Installera"-operationen kommer en fil att laddas ner till datorn, som i sin tur startar Win32/Filecoder.D-kodaren i systemet. Vidare kommer åtkomst till dokument att blockeras, ett lösenmeddelande kommer att visas på skärmen.
Bad Rabbit-viruset söker igenom nätverket efter öppna nätverksresurser, varefter det startar ett verktyg för insamling av autentiseringsuppgifter på den infekterade maskinen, och detta "beteende" skiljer sig från sina föregångare.
Specialister från den internationella utvecklaren av antivirusprogramvaran Eset NOD 32 bekräftade att Bad Rabbit är en ny modifiering av Petya-viruset, vars princip var densamma - viruset krypterade information och krävde en lösensumma i bitcoins (beloppet var jämförbart med Dålig kanin - $ 300). Den nya skadliga programvaran fixar buggar i filkryptering. Koden som används i viruset är utformad för att kryptera logiska enheter, externa USB-enheter och CD/DVD-avbildningar, samt startbara diskpartitioner.
På tal om publiken som attackerades av Bad Rabbit, chef för försäljningssupport ESET Ryssland Vitaly Zemsky uppgav att 65 % av attackerna som stoppas av företagets antivirusprodukter faller på Ryssland. Resten av geografin för det nya viruset ser ut så här:
Ukraina - 12,2 %
Bulgarien - 10,2 %
Turkiet - 6,4 %
Japan - 3,8 %
andra - 2,4 %
"Ransomwaren använder en välkänd programvara med öppen källkod som heter DiskCryptor för att kryptera offrets enheter. Låsmeddelandeskärmen som användaren ser är nästan identisk med låsskärmarna Petya och NotPetya. Detta är dock den enda likheten vi har sett hittills mellan de två skadliga programmen. I alla andra aspekter är BadRabbit en helt ny och unik typ av ransomware”, säger CTO för Check Point Software Technologies. Nikita Durov.
Hur skyddar du dig från Bad Rabbit?
Ägare av andra operativsystem än Windows kan andas ut, eftersom det nya ransomware-viruset bara gör datorer med denna "axel" sårbara.
För att skydda mot nätverksskadlig programvara rekommenderar experter att du skapar filen C:\windows\infpub.dat på din dator, samtidigt som du ställer in dess skrivskyddade rättigheter - detta är enkelt att göra i administrationssektionen. På så sätt kommer du att blockera exekveringen av filen, och alla dokument som kommer utifrån kommer inte att krypteras även om de visar sig vara infekterade. För att inte förlora värdefull data i händelse av infektion med ett virus, gör en säkerhetskopia (säkerhetskopia) nu. Och, naturligtvis, är det värt att komma ihåg att betala en lösensumma är en fälla som inte garanterar att du låser upp din dator.
Kom ihåg att viruset i maj i år spred sig till minst 150 länder runt om i världen. Han krypterade informationen och krävde att betala en lösensumma, enligt olika källor, från 300 till 600 dollar. Mer än 200 tusen användare led av det. Enligt en version tog dess skapare den amerikanska NSA malware Eternal Blue som grund.
Alla Smirnova pratade med experter
Hej alla! Häromdagen började en storskalig hackerattack i Ryssland och Ukraina, Turkiet, Tyskland och Bulgarien med det nya Bad Rabbit-krypteringsviruset, aka Diskcoder.D. Ransomwaren attackerar för närvarande företagsnätverk av stora och medelstora organisationer och blockerar alla nätverk. Idag kommer vi att berätta vad denna trojan är och hur du kan skydda dig från den.
Vad är ett virus?
Bad Rabbit (Bad Rabbit) fungerar enligt standardschemat för ransomware: när den kommer in i systemet, kodar den filer för dekryptering av vilka hackare kräver 0,05 bitcoin, vilket till kursen är $ 283 (eller 15 700 rubel). Detta rapporteras i ett separat fönster, där du faktiskt behöver ange den köpta nyckeln. Hotet är en trojan Trojan.Win32.Generic den innehåller dock även andra komponenter, som t.ex DangerousObject.Multi.Generic och Ransom .Win 32.Gen.ftl.
Bad Rabbit - ett nytt ransomware-virus
Det är fortfarande svårt att helt spåra alla smittkällor, men experter arbetar nu med detta. Förmodligen kommer hotet in i datorn via infekterade webbplatser som omdirigeras, eller under sken av falska uppdateringar för populära plugin-program som Adobe Flash. Listan över sådana webbplatser växer bara.
Är det möjligt att ta bort viruset och hur man skyddar sig?
Det ska sägas omedelbart att för närvarande har alla antiviruslaboratorier börjat analysera denna trojan. Om du specifikt letar efter information om hur du tar bort viruset, så är det inte det. Låt oss kassera standardråden direkt - gör en säkerhetskopia av systemet, en returpunkt, radera sådana och sådana filer. Om du inte har sparar så fungerar inte allt annat, hackare har tänkt igenom sådana ögonblick, på grund av virusets specifikation.
Jag tror att avkodare för Bad Rabbit gjorda av amatörer snart kommer att distribueras - om du följer dessa program eller inte är din egen sak. Som den tidigare ransomware Petya visade, hjälper detta få människor.
Men du kan förhindra hotet och ta bort det när du försöker komma in i datorn. Kaspersky och ESETs labb var de första som reagerade på rapporter om en virusepidemi, och de blockerar redan penetrationsförsök. Webbläsaren Google Chrome började också identifiera infekterade resurser och varna för deras fara. Här är vad du ska göra för att skydda dig mot BadRabbit i första hand:
- Om du använder Kaspersky, ESET, Dr.Web eller andra populära analoger för skydd, måste du definitivt uppdatera databaserna. För Kaspersky måste du också aktivera "Activity Monitoring" (System Watcher), och i ESET, tillämpa signaturer med uppdatering 16295.
- Om du inte använder antivirus, måste du blockera körningen av filer C:\Windows\infpub.dat och C:\Windows\cscc.dat. Detta görs genom grupprincipredigeraren eller AppLocker-programmet för Windows.
- Se till att säkerhetskopiera ditt system. I teorin bör en kopia alltid lagras på ett flyttbart medium. Här är en kort videohandledning om hur man skapar den.
Det är önskvärt att inaktivera utförandet av tjänsten - Windows Management Instrumentation (WMI). I topp tio kallas tjänsten "Windows Management Instrumentation". Ange tjänstens egenskaper genom den högra knappen och välj in "Starttyp" läge "Inaktiverad".
Slutsats
Sammanfattningsvis är det värt att säga det viktigaste - du ska inte betala en lösen, oavsett vad du har krypterat. Sådana handlingar uppmanar bara bedragare att skapa nya virusattacker. Följ antivirusföretagens forum, som jag hoppas snart kommer att studera Bad Rabbit-viruset och hitta ett effektivt piller. Se till att följa stegen ovan för att skydda ditt operativsystem. Avsluta prenumerationen i kommentarerna vid svårigheter med genomförandet.
Tredje stora cyberattacken på ett år. Den här gången ett virus med ett nytt namn Bad Rabbit och gamla vanor - datakryptering och utpressning av pengar för upplåsning. Och i det drabbade området finns fortfarande Ryssland, Ukraina och några andra OSS-länder.
The Bad Rabbit agerar enligt det vanliga schemat: den skickar ett nätfiske-e-postmeddelande med ett bifogat virus eller en länk. I synnerhet kan angripare utge sig för att vara Microsofts tekniska support och be dem att omedelbart öppna en bifogad fil eller följa en länk. Det finns en annan distributionsväg - ett falskt Adobe Flash Player-uppdateringsfönster. I båda fallen agerar Bad Rabbit på samma sätt som den sensationella för inte så länge sedan, den krypterar offrets data och kräver en lösensumma på 0,05 bitcoin, vilket är cirka 280 dollar vid växelkursen den 25 oktober 2017. Offren för den nya epidemin var Interfax, St. Petersburg-utgåvan av Fontanka, Kievs tunnelbana, flygplatsen i Odessa och Ukrainas kulturministerium. Det finns bevis för att det nya viruset försökte attackera flera välkända ryska banker, men denna idé misslyckades. Experter kopplar Bad Rabbit till tidigare stora attacker som registrerats i år. Ett bevis på detta är den liknande krypteringsmjukvaran Diskcoder.D, och det här är samma Petya-kryptering, endast något modifierad.
Hur skyddar du dig från Bad Rabbit?
Experter rekommenderar att ägare av Windows-datorer skapar filen "infpub.dat" och placerar den i Windows-mappen på "C"-enheten. Som ett resultat bör sökvägen se ut så här: C:\windows\infpub.dat. Detta kan göras med ett vanligt anteckningsblock, men med administratörsrättigheter. För att göra detta hittar vi länken till programmet Notepad, högerklickar och väljer "Kör som administratör".
Sedan behöver du bara spara den här filen till adressen C:\windows\, det vill säga i Windows-mappen på C-enheten. Filnamn: infpub.dat, där "dat" är filtillägget. Glöm inte att ersätta standardanteckningsblockstillägget "txt" med "dat". Efter att du sparat filen, öppna Windows-mappen, hitta den skapade infpub.dat-filen, högerklicka på den och välj "Egenskaper", där längst ner måste du markera "Read Only". Således, även om du fångar Bad Rabbit-viruset, kommer det inte att kunna kryptera dina data.
Förebyggande åtgärder
Glöm inte att du kan skydda dig mot alla virus helt enkelt genom att följa vissa regler. Det låter banalt, men aldrig öppna brev, och ännu mer deras bilagor, om adressen verkar misstänkt för dig. Nätfiske-e-post, det vill säga maskering som andra tjänster, är den vanligaste metoden för infektion. Var försiktig med vad du öppnar. Om den bifogade filen heter "Important document.docx_______.exe" i brevet, bör du definitivt inte öppna den här filen. Dessutom måste du ha säkerhetskopior av viktiga filer. Till exempel kan ett familjearkiv med foton eller arbetsdokument dupliceras på en extern enhet eller molnlagring. Glöm inte hur viktigt det är att använda en licensierad version av Windows och installera uppdateringar regelbundet. Säkerhetskorrigeringar släpps av Microsoft regelbundet och de som installerar dem har inga problem med sådana virus.
Slutet av oktober i år präglades av uppkomsten av ett nytt virus som aktivt attackerade företags- och hemanvändares datorer. Det nya viruset är ett ransomware och heter Bad Rabbit, vilket betyder dålig kanin. Med hjälp av detta virus attackerades flera ryska massmedias webbplatser. Senare hittades viruset också i ukrainska företags informationsnätverk. Där attackerades informationsnäten i tunnelbanan, olika ministerier, internationella flygplatser och så vidare. Lite senare observerades en liknande virusattack i Tyskland och Turkiet, även om dess aktivitet var betydligt lägre än i Ukraina och Ryssland.
Ett skadligt virus är en speciell plug-in som, efter att den kommit in i en dator, krypterar dess filer. När informationen väl har krypterats försöker angripare få belöningar från användare för att dekryptera deras data.
Spridning av viruset
Experter från ESETs analyserade algoritmen för virusspridningsvägen och kom till slutsatsen att det är ett modifierat virus som spreds som Petya-viruset för inte så länge sedan.
ESETs laboratorieexperter har beräknat att skadliga plugins distribuerades från 1dnscontrol.com-resursen och IP-adressen IP5.61.37.209. Flera fler resurser är också associerade med denna domän och IP, inklusive secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.
Specialister undersökte att ägarna till dessa sajter registrerade många olika resurser, till exempel de genom vilka de med hjälp av spam-utskick försöker sälja förfalskade läkemedel. ESET-specialister utesluter inte att det var med hjälp av dessa resurser, med hjälp av spam och nätfiske, som den huvudsakliga cyberattacken utfördes.
Hur infekteras Bad Rabbit-viruset?
Specialister från det kriminaltekniska laboratoriet undersökte hur viruset kom till användarnas datorer. Det visade sig att Bad Rabbit ransomware-viruset i de flesta fall distribuerades som en uppdatering till Adobe Flash. Det vill säga att viruset inte använde några sårbarheter i operativsystemet, utan installerades av användarna själva, som, omedvetna om detta, godkände installationen och trodde att de uppdaterade Adobe Flash-pluginen. När viruset kom in i det lokala nätverket, stjäl det inloggningar och lösenord från minnet och spred sig till andra datorsystem på egen hand.
Hur hackare pressar pengar
Efter att ransomware-viruset har installerats på datorn krypterar det den lagrade informationen. Därefter får användare ett meddelande som indikerar att för att få tillgång till deras data måste de göra en betalning på den angivna mörka webbplatsen. För att göra detta måste du först installera en speciell Tor-webbläsare. För det faktum att datorn kommer att låsas upp tvingar angriparna ut betalningar på 0,05 bitcoin. Idag, till ett pris av $5600 för 1 Bitcoin, är detta cirka $280 för att låsa upp en dator. För att göra en betalning ges användaren en tidsperiod motsvarande 48 timmar. Efter denna period, om det erforderliga beloppet inte har överförts till angriparens elektroniska konto, ökar beloppet.
Hur du skyddar dig mot viruset
- För att skydda dig mot infektion med Bad Rabbit-viruset bör du blockera åtkomst från informationsmiljön till ovanstående domäner.
- För hemanvändare måste du uppdatera den aktuella versionen av Windows samt antivirusprogrammet. I det här fallet kommer den skadliga filen att upptäckas som ett ransomware-virus, vilket utesluter möjligheten att den installeras på datorn.
- De användare som använder det inbyggda antivirusprogrammet i Windows-operativsystemet har redan skydd mot dessa ransomware. Det är implementerat i Windows Defender Antivirus-applikationen.
- Utvecklarna av antivirusprogrammet från Kaspersky Lab råder alla användare att med jämna mellanrum säkerhetskopiera sina data. Dessutom rekommenderar experter att blockera exekveringen av c:\windows\infpub.dat-, c:\WINDOWS\cscc.dat-filer och, om möjligt, inaktivera användningen av WMI-tjänsten.
Slutsats
Alla datoranvändare bör komma ihåg att cybersäkerhet bör komma först när de arbetar på nätverket. Därför bör du alltid övervaka användningen av endast verifierade informationsresurser och noggrant använda e-post och sociala nätverk. Det är genom dessa resurser som spridningen av olika virus oftast sker. Elementära beteenderegler i informationsmiljön kommer att eliminera de problem som uppstår under en virusattack.
Krypteringsviruset Bad Rabbit, som ryska medier attackerades dagen innan, försökte också attackera ryska banker från topp 20, säger Group-IB, som utreder och förebygger cyberbrottslighet, till Forbes. Representanten för företaget avböjde att förtydliga detaljer om attacker mot kreditinstitut och förklarade att Group-IB inte avslöjar information om kunder som använder sitt intrångsdetekteringssystem.
Enligt cybersäkerhetsexperter ägde försök att infektera ryska bankers infrastruktur med viruset den 24 oktober från 13:00 till 15:00 Moskvatid. Group-IB anser att cyberattacker har visat ett bättre skydd för banker jämfört med företag inom icke-banksektorn. Tidigare rapporterade företaget att ett nytt ransomware-virus, förmodligen relaterat till juniepidemin av NotPetya ransomware (detta indikeras av tillfälligheter i koden), attackerade rysk media. Det handlade om informationssystemen för Interfax-byrån, såväl som servrarna på nyhetsportalen Fontanka i St. Petersburg. Dessutom drabbade viruset systemen i Kievs tunnelbana, Ukrainas infrastrukturministerium och Odessas internationella flygplats. NotPetya slog energi-, telekommunikations- och finansföretag främst i Ukraina i somras. För att dekryptera filer infekterade med BadRabbit-viruset kräver angripare 0,05 bitcoins, vilket vid nuvarande växelkurs motsvarar ungefär 283 $ eller 15 700 rubel.
Kaspersky Lab klargjorde att den här gången valdes majoriteten av offren ut av hackare i Ryssland. Liknande attacker registrerades dock i företaget i Ukraina, Turkiet och Tyskland, men "i mycket mindre antal". "Alla tecken tyder på att detta är en riktad attack mot företagsnätverk. Metoder som liknar de som vi observerade i ExPetr-attacken används, men vi kan inte bekräfta kopplingen till ExPetr, säger en företagsrepresentant. Forbes samtalspartner tillade att alla Kaspersky Lab-produkter "upptäcker dessa skadliga filer som UDS:DangerousObject.Multi.Generic."
Hur skyddar man sig?
För att skydda mot denna attack rekommenderade Kaspersky Lab att du använder ett antivirusprogram med KSN aktiverat och System Monitor-modulen. "Om Kaspersky Labs säkerhetslösning inte är installerad rekommenderar vi att du inte tillåter exekvering av filer med namnen c:\windows\infpub.dat och C:\Windows\cscc.dat med hjälp av systemadministrationsverktyg," rådde chefen för anti- virusforskningsavdelningen vid Laboratory Kaspersky" Vyacheslav Zakorzhevsky.
Group-IB noterar att för att viruset inte ska kunna kryptera filer "måste du skapa filen C:\windows\infpub.dat och ställa in den på skrivskyddad". Efter det, även om de är infekterade, kommer filerna inte att krypteras, sa företaget. Samtidigt måste du omedelbart isolera datorer som har setts skicka sådana skadliga filer för att undvika storskalig infektion av andra datorer som är anslutna till nätverket. Därefter måste användarna se till att säkerhetskopiorna av viktiga nätverksnoder är uppdaterade och intakta.
När de första stegen är slutförda rekommenderas användaren att uppdatera operativsystem och säkerhetssystem, samtidigt som de blockerar IP-adresser och domännamn från vilka skadliga filer distribuerades. Group-IB rekommenderar att man ändrar alla lösenord till mer komplexa och sätter upp en popup-blockerare, samt att man förbjuder lagring av lösenord i LSA Dump i klartext.
Vem ligger bakom BadRabbit-attacken
Under 2017 registrerades redan två största ransomware-epidemier – WannaCry (attackerade 200 000 datorer i 150 länder) och ExPetr. Den senare är Petya och samtidigt NotPetya, konstaterar Kaspersky Lab. Nu, enligt företaget, "börjar den tredje". Namnet på den nya Bad Rabbit ransomware "skrivs på en sida på den mörka webben som dess skapare skickar för att fråga om detaljer", sa företaget. Group-IB tror att Bad Rabbit är en modifierad version av NotPetya med buggfixar i krypteringsalgoritmen. I synnerhet inkluderar Bad Rabbit-koden block som helt upprepar NotPetya.
ESET Ryssland håller med om att den skadliga programvaran Win32/Diskcoder.D som användes i attacken är en modifierad version av Win32/Diskcoder.C, mer känd som Petya/NotPetya. Som Vitaly Zemskikh, chef för försäljningssupport på ESET Ryssland, sa till Forbes, motsvarar attackstatistiken per land "till stor del den geografiska fördelningen av webbplatser som innehåller skadlig JavaScript." De flesta infektionerna inträffade alltså i Ryssland (65 %), följt av Ukraina (12,2 %), Bulgarien (10,2 %), Turkiet (6,4 %) och Japan (3,8 %).
Infektionen med Bad Rabbit-viruset inträffade efter att ha besökt hackade webbplatser. Hackare laddade ner en JavaScript-injektion till de komprometterade resurserna i HTML-kod, som visade besökarna ett falskt fönster som erbjöd sig att installera en uppdatering till Adobe Flash-spelaren. Om användaren gick med på uppdateringen installerades en skadlig fil med namnet "install_flash_player.exe" på datorn. ”Genom att infektera en arbetsstation i en organisation kan kryptören spridas inom företagets nätverk via SMB-protokollet. Till skillnad från sin Petya/NotPetya-föregångare använder Bad Rabbit inte EthernalBlue-exploatet – istället skannar det nätverket efter exponerade nätverksresurser”, säger Zemskikh. Därefter lanseras Mimikatz-verktyget på den infekterade maskinen för att samla in autentiseringsuppgifter. Dessutom tillhandahålls en hårdkodad lista med inloggningar och lösenord.
Det finns ingen information om vem som organiserade hackerattackerna ännu. Samtidigt, enligt Group-IB, kan liknande massattacker från WannaCry och NotPetya associeras med statligt finansierade hackergrupper. Experter drar denna slutsats på grundval av att den ekonomiska fördelen av sådana attacker, jämfört med komplexiteten i deras genomförande, är "försumbar". "Det här var troligen inte försök att tjäna pengar, utan att kontrollera skyddsnivån för nätverk av kritisk infrastruktur för företag, statliga myndigheter och privata företag", avslutar experter. En talesperson för Group-IB bekräftade för Forbes att det senaste viruset - Bad Rabbit - kan vara ett test av skyddet av statliga och affärsmässiga infrastrukturer. "Ja det är möjligt. Med tanke på att attackerna utfördes punktvis - på kritiska infrastrukturobjekt - flygplatsen, tunnelbanan, statliga myndigheter, förklarar Forbes-samtalaren.
Som svar på en fråga om förövarna av den senaste attacken betonar ESET Ryssland att det är omöjligt att använda verktygen från ett antivirusföretag, att det är omöjligt att genomföra en högkvalitativ undersökning och identifiera de inblandade, detta är uppgiften för specialister från en annan profil. "Som ett antivirusföretag identifierar vi metoder och mål för attacker, skadliga verktyg för angripare, sårbarheter och utnyttjande. Sökandet efter gärningsmännen, deras motiv, nationalitet och så vidare är inte vårt ansvar, säger en företagsrepresentant och lovar att dra slutsatser om utnämningen av Bad Rabbit baserat på resultaten av utredningen. "Tyvärr kommer vi inom en snar framtid att se många sådana incidenter - vektorn och scenariot för denna attack har visat hög effektivitet", förutspår ESET Ryssland. Forbes samtalspartner påminner om att företaget under 2017 förutspådde en ökning av antalet riktade attacker mot företagssektorn, främst mot finansiella organisationer (med mer än 50 %, enligt preliminära uppskattningar). "Dessa förutsägelser går nu i uppfyllelse, vi ser en ökning av antalet attacker i kombination med en ökning av skadorna på drabbade företag", medger han.
