Ako sa chrániť pred novým vírusom ransomware Bad Rabbit. Ako funguje Bad Rabbit ransomware a existuje odkaz na nový útok ransomware na program NotPetya Bad Rabbit

Zdravím vás, milí návštevníci a hostia tohto blogu! Dnes sa na svete objavil ďalší vírus ransomware s názvom: „ Zlý králik» — « Zlý králik“. Toto je už tretí senzačný ransomware v roku 2017. Predošlé boli tiež (aka NotPetya).

Bad Rabbit - Kto už trpel a koľko peňazí je potrebných?

Doteraz pravdepodobne týmto ransomware trpelo niekoľko ruských médií - medzi nimi Interfax a Fontanka. Tiež o hackerskom útoku - pravdepodobne súvisiacom s rovnakým Bad Rabbit, - hlási letisko v Odese.

Za dešifrovanie súborov útočníci požadujú 0,05 bitcoinu, čo je pri súčasnom kurze približne ekvivalent 283 dolárov alebo 15 700 rubľov.

Výsledky výskumu spoločnosti Kaspersky Lab naznačujú, že pri útoku neboli použité žiadne exploity. Bad Rabbit sa šíri infikovanými webovými stránkami: používatelia si stiahnu falošný inštalátor Adobe Flash, manuálne ho spustia a infikujú tak svoje počítače.

Podľa spoločnosti Kaspersky Lab experti tento útok vyšetrujú a hľadajú spôsoby, ako proti nemu bojovať, a tiež hľadajú spôsoby, ako dešifrovať súbory ovplyvnené ransomvérom.

Väčšina obetí útoku je v Rusku. Je tiež známe, že k podobným útokom dochádza na Ukrajine, v Turecku a Nemecku, avšak v oveľa menšom počte. Kryptograf Zlý králik sa šíri niekoľkými infikovanými ruskými mediálnymi webmi.

Kaperskyho laboratórium sa domnieva, že všetky znaky naznačujú, že ide o cielený útok na podnikové siete. Použité metódy sú podobné tým, ktoré sme pozorovali pri útoku ExPetr, ale nemôžeme potvrdiť spojenie s ExPetr.

Je už známe, že produkty spoločnosti Kaspersky Lab detekujú jeden z komponentov škodlivého softvéru pomocou cloudovej služby Kaspersky Security Network ako UDS: DangerousObject.Multi.Generic a tiež pomocou System Watcher ako PDM: Trojan.Win32.Generic.

Ako sa chrániť pred vírusom Bad Rabbit?

Aby sme sa nestali obeťou novej epidémie Bad Rabbit, Kaspersky Lab»Odporúčame, aby ste urobili nasledovné:

Ak máte nainštalovanú aplikáciu Kaspersky Anti-Virus, postupujte takto:

  • Skontrolujte, či vaše riešenie zabezpečenia obsahuje komponenty Kaspersky Security Network a Activity Monitor (alias System Watcher). Ak nie, určite ho zapnite.

Pre tých, ktorí tento výrobok nemajú:

  • Blokujte spustenie súboru c: \ windows \ infpub.dat, C: \ Windows \ cscc.dat. To je možné vykonať prostredníctvom.
  • Zakážte (ak je to možné) používanie služby WMI.

Ďalší veľmi dôležitý tip odo mňa:

Vždy robte záloha (záloha - záloha ) dôležité súbory. Na vymeniteľných médiách, v cloudových službách! Šetrí vám to nervy, peniaze i čas!

Želám si, aby ste túto infekciu nechytili vo svojom počítači. Čistý a bezpečný internet pre vás!

Aktualizácia 27.10.2017. Vyhodnotenie možnosti dešifrovania. Schopnosť obnoviť súbory. Verdikty.

Čo sa stalo?

V utorok 24. októbra sme dostali oznámenia o rozsiahlych útokoch pomocou ransomwaru Bad Rabbit. Zasiahnuté boli organizácie a jednotliví používatelia - väčšinou v Rusku, ale objavili sa aj správy o obetiach z Ukrajiny. Túto správu vidia obete:

Čo je to Bad Rabbit?

Bad Rabbit patrí do predtým neznámej rodiny ransomwaru.

Ako sa šíri?

Malvér sa šíri pomocou útoku typu drive-by: obeť navštívi legitímnu webovú stránku a stiahne sa z infraštruktúry organizátora útoku do svojho počítača. Zločinci to nepoužili, a tak na to, aby mohol používateľ nakaziť, musel ručne spustiť súbor prezlečený za inštalátor Adobe Flash. Naša analýza však potvrdzuje, že Bad Rabbit využil exploit EternalRomance na šírenie sa v podnikových sieťach. Rovnaký exploit použil ransomware ExPetr.

Našli sme niekoľko kompromitovaných zdrojov - všetky sú spravodajskými portálmi a mediálnymi webmi.

Na koho sa útok zameriava?

Väčšina obetí je v Rusku. Podobné, ale menej masívne útoky postihli ďalšie krajiny - Ukrajinu, Turecko a Nemecko. Celkový počet cieľov podľa štatistík KSN dosahuje 200.

Kedy Kaspersky Lab zistila hrozbu?

Pôvodný vektor útoku sme mohli vystopovať úplne na začiatku, ráno 24. októbra. Aktívna fáza trvala do poludnia, aj keď jednotlivé útoky boli zaznamenané do 19.55 moskovského času. Server, z ktorého bolo distribuované kvapkadlo na králiky Bad, bol v ten večer vypnutý.

Ako sa Bad Rabbit líši od ransomwaru ExPetr? Alebo je to ten istý malware?

Podľa našich pozorovaní teraz hovoríme o cielenom útoku na podnikové siete, jeho metódy sú podobné tým, ktoré sa používajú v čase. Analýza kódu Bad Rabbit navyše ukázala jeho viditeľnú podobnosť s kódom ExPetr.

Technické detaily

Podľa našich informácií sa ransomware šíri útokom typu drive-by. Kvapkadlo na ransomware sa sťahuje z adresy hxxp: // 1dnscontrol [.] Com / flash_install.php.

Obete sú presmerované na tento škodlivý zdroj z legitímnych spravodajských serverov.

Stiahnutý súbor install_flash_player.exe musí obeť spustiť ručne. Na správnu funkciu súbor vyžaduje práva správcu, čo požaduje prostredníctvom štandardného oznámenia UAC. Po spustení malware uloží škodlivú knižnicu DLL ako C: Windowsinfpub.dat a spustí ju pomocou programu rundll32.

Pseudokód škodlivého postupu inštalácie DLL

Zdá sa, že knižnica infpub.dat hrubo núti poverenia NTLM počítačom so systémom Windows s pseudonáhodnými adresami IP.

Pevne kódovaný zoznam poverení

Knižnica infpub.dat tiež nainštaluje škodlivý spustiteľný súbor dispci.exe v C: Windows a vytvorí úlohu na jeho spustenie.

Pseudokód postupu, ktorý vytvára úlohu na spustenie škodlivého spustiteľného súboru

Infpub.dat navyše funguje ako typický ransomware ransomware: vyhľadáva údaje obete pomocou vstavaného zoznamu rozšírení a šifruje súbory pomocou verejného 2048-bitového kľúča RSA, ktorý patrí útočníkom.

Verejný kľúč útočníkov a zoznam rozšírení

Parametre verejného kľúča:

Verejný kľúč: (2048 bitov)
Modul:
00: e5: c9: 43: b9: 51: 6b: e6: c4: 31: 67: e7: de: 42: 55:
6f: 65: c1: 0a: d2: 4e: 2e: 09: 21: 79: 4a: 43: a4: 17: d0:
37: b5: 1e: 8e: ff: 10: 2d: f3: df: cf: 56: 1a: 30: be: ed:
93: 7c: 14: d1: b2: 70: 6c: f3: 78: 5c: 14: 7f: 21: 8c: 6d:
95: e4: 5e: 43: c5: 71: 68: 4b: 1a: 53: a9: 5b: 11: e2: 53:
a6: e4: a0: 76: 4b: c6: a9: e1: 38: a7: 1b: f1: 8d: fd: 25:
4d: 04: 5c: 25: 96: 94: 61: 57: fb: d1: 58: d9: 8a: 80: a2:
1d: 44: eb: e4: 1f: 1c: 80: 2e: e2: 72: 52: e0: 99: 94: 8a:
1a: 27: 9b: 41: d1: 89: 00: 4c: 41: c4: c9: 1b: 0b: 72: 7b:
59: 62: c7: 70: 1f: 53: fe: 36: 65: e2: 36: 0d: 8c: 1f: 99:
59: f5: b1: 0e: 93: b6: 13: 31: fc: 15: 28: da: ad: 1d: a5:
f4: 2c: 93: b2: 02: 4c: 78: 35: 1d: 03: 3c: e1: 4b: 0d: 03:
8d: 5b: d3: 8e: 85: 94: a4: 47: 1d: d5: ec: f0: b7: 43: 6f:
47: 1e: 1c: a2: 29: 50: 8f: 26: c3: 96: d6: 5d: 66: 36: dc:
0b: ec: a5: fe: ee: 47: cd: 7b: 40: 9e: 7c: 1c: 84: 59: f4:
81: b7: 5b: 5b: 92: f8: dd: 78: fd: b1: 06: 73: e3: 6f: 71:
84: d4: 60: 3f: a0: 67: 06: 8e: b5: dc: eb: 05: 7c: 58: ab:
1f: 61
Exponent: 65537 (0x10001)

style = "font-family: Consolas, Monaco, monospace;">

Zdá sa, že spustiteľný súbor dispci.exe je založený na kóde právneho nástroja DiskCryptor. Funguje ako šifrovací modul disku a súbežne inštaluje upravený zavádzač, čím blokuje normálny proces zavádzania infikovaného systému.

Pri analýze vzoriek tejto hrozby sme zaznamenali zaujímavý detail: zrejme sú autormi škodlivého programu fanúšikovia Game of Thrones. Niektoré riadky v kóde predstavujú mená postáv z tohto vesmíru.

Mená drakov z „Hry o tróny“

Mená postáv z Game of Thrones

Šifrovacia schéma

Ako sme už uviedli, Bad Rabbit ransomware šifruje súbory a pevný disk obete. Pre súbory sa používajú nasledujúce algoritmy:

  1. AES-128-CBC
  2. RSA-2048

Toto je typická schéma, ktorú používa ransomware.

Je zaujímavé, že ransomware uvádza všetky spustené procesy a porovnáva hash v mene každého procesu so zoznamom hash, ktoré má. Použitý hashovací algoritmus je podobný algoritmu, ktorý používa malware exPetr.

Porovnanie hashovacích rutín Bad Rabbit a ExPetr

Špeciálna vetva vykonávania programu

Procedúra inicializácie vlajok za behu

Úplný zoznam hashov z názvov procesov:

Hash Názov procesu
0x4A241C3E dwwatcher.exe
0x923CA517 McTray.exe
0x966D0415 dwarkdaemon.exe
0xAA331620 dwservice.exe
0xC8F10976 mfevtps.exe
0xE2517A14 dwengine.exe
0xE5A05A00 mcshield.exe

Oddiely pevného disku obete sú šifrované pomocou ovládača dcrypt.sys programu DiskCryptor (je načítaný do C: Windowscscc.dat). Šifrátor zašle tomuto kódu potrebné kódy IOCTL. Niektoré funkcie sú prevzaté „tak, ako sú“ zo zdrojov programu DiskCryptor (drv_ioctl.c), iné sa zdajú byť pridané vývojármi škodlivého softvéru.

Diskové oblasti sú šifrované ovládačom DiskCryptor pomocou AES v režime XTS. Heslo je vygenerované spoločnosťou dispci.exe pomocou funkcie WinAPI CryptGenRandom a má 32 znakov.

Hodnotenie uskutočniteľnosti dešifrovania

Naše údaje naznačujú, že Bad králik, na rozdiel od ExPetr, nebol vytvorený ako zmija (skôr sme napísali, že tvorcovia ExPetr sú technicky neschopní dešifrovať MFT šifrovaný pomocou GoldenEye). Správanie malvéru predpokladá, že útočníci za zlým králikom majú potrebné prostriedky na jeho dešifrovanie.

Údaje, ktoré sa na obrazovke infikovaného počítača zobrazujú ako „osobný inštalačný kľúč č. 1“, sú binárnou štruktúrou šifrovanou RSA-2048 a kódovanou base64, ktorá obsahuje nasledujúce informácie z infikovaného systému:

Útočníci môžu použiť svoj súkromný kľúč RSA na dešifrovanie tejto štruktúry a odoslať heslo na dešifrovanie disku obeti.

Všimnite si toho, že hodnota poľa id odovzdaného do dispci.exe je jednoducho 32-bitové číslo používané na rozlíšenie medzi infikovanými počítačmi, a už vôbec nie kľúč AES na šifrovanie disku, ako sa uvádza v niektorých správach publikovaných na internete.

Pri analýze sme pri ladení extrahovali heslo vytvorené škodlivým softvérom a pokúsili sme sa ho použiť v uzamknutom systéme po reštarte - heslo prišlo a sťahovanie pokračovalo.

Kybernetickí zločinci bohužiaľ nie sú schopní dešifrovať údaje na diskoch bez kľúča RSA-2048: symetrické kľúče sa bezpečne generujú na strane škodlivého softvéru, čo v praxi vylučuje možnosť ich hádania.

Našli sme však chybu v kóde dispci.exe: vygenerované heslo nie je odstránené z pamäte, čo dáva malú šancu získať ho skôr, ako sa dispci.exe dokončí. Na nasledujúcom obrázku môžete vidieť, že hoci premenná dc_pass (ktorá bude odovzdaná ovládaču) bude po použití bezpečne vymazaná, neplatí to pre premennú rand_str, ktorá obsahuje kópiu hesla.

Pseudokód procedúry, ktorá generuje heslo a šifruje diskové oblasti

Šifrovanie súborov

Ako sme už uviedli, Trojan používa typickú schému šifrovania súborov. Generuje náhodný reťazec dlhý 32 bajtov a používa ho v algoritme derivácie kľúčov. Na vytvorenie tohto reťazca sa bohužiaľ používa funkcia CryptGenRandom.

Algoritmus derivácie kľúčov

Šifrované heslo je spolu s informáciami o infikovanom systéme zapísané do súboru Readme ako „osobný inštalačný kľúč č. 2“.

Zaujímavý fakt: malware nešifruje súbory s atribútom iba na čítanie.

Schopnosť obnovy súboru

Zistili sme, že Bad Rabbit neodstraňuje tieňové kópie súborov po ich šifrovaní. To znamená, že ak bola služba tieňovej kópie povolená pred infekciou a k šifrovaniu celého disku z nejakého dôvodu nedošlo, obeť môže obnoviť zašifrované súbory pomocou štandardných nástrojov systému Windows alebo nástrojov tretích strán.

Tieňové kópie neovplyvnené programom Bad Rabbit

Experti spoločnosti Kaspersky Lab podrobne analyzujú ransomware, aby zistili možné chyby v jeho kryptografických algoritmoch.

Firemným klientom spoločnosti Kaspersky Lab sa odporúča:

  • skontrolujte, či sú podľa odporúčania povolené všetky mechanizmy; uistite sa, že komponenty KSN a System Monitor nie sú vypnuté (v predvolenom nastavení sú aktívne);
  • okamžite aktualizujte antivírusové databázy.

To by malo stačiť. Ako dodatočné opatrenia však odporúčame:

  • zabrániť spusteniu súborov C: Windowsinfpub.dat a C: Windowscscc.dat v aplikácii Kaspersky Endpoint Security.
  • nakonfigurujte a povoľte režim „Odmietnuť v predvolenom nastavení“ v komponente Kontrola spustenia aplikácie aplikácie Kaspersky Endpoint Security.

Produkty spoločnosti Kaspersky Lab definujú túto hrozbu ako:

  • Trojan-Ransom.Win32.Gen.ftl
  • Trojan-Ransom.Win32.BadRabbit
  • DangerousObject.Multi.Generic
  • PDM: Trojan.Win32.Generic
  • Intrusion.Win.CVE-2017-0147.sa.leak
IoC:

http: // 1dnscontrol [.] com /
- install_flash_player.exe
- C: Windowsinfpub.dat
- C: Windowsdispci.exe

style = "font-family: Consolas, Monaco, monospace;">

Koniec októbra tohto roku sa niesol v znamení vzniku nového vírusu, ktorý aktívne útočil na počítače firemných a domácich užívateľov. Nový vírus je ransomware a nazýva sa Bad Rabbit, čo znamená zlý králik. Tento vírus napadol webové stránky niekoľkých ruských médií. Neskôr bol vírus nájdený aj v informačných sieťach ukrajinských podnikov. Napadli tam informačné siete metra, rôzne ministerstvá, medzinárodné letiská a ďalšie. O niečo neskôr bol podobný vírusový útok pozorovaný v Nemecku a Turecku, aj keď jeho aktivita bola výrazne nižšia ako na Ukrajine a v Rusku.

Škodlivý vírus je špeciálny doplnok, ktorý šifruje súbory po vstupe do počítača. Po zašifrovaní informácií sa útočníci pokúsia získať odmenu od používateľov za dešifrovanie ich údajov.

Šírenie vírusu

Odborníci z antivírusového laboratória ESET analyzovali algoritmus cesty šírenia vírusu a dospeli k záveru, že ide o upravený vírus, ktorý sa v poslednej dobe šíri podobne ako vírus Petya.

Špecialisti laboratória ESET vypočítali, že distribúcia škodlivých doplnkov bola vykonaná zo zdroja 1dnscontrol.com a IP adresy IP5.61.37.209. S touto doménou a IP je spojených aj niekoľko ďalších zdrojov, vrátane secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.

Odborníci skúmali, že majitelia týchto stránok zaregistrovali mnoho rôznych zdrojov, napríklad prostredníctvom ktorých sa pomocou nevyžiadanej pošty pokúšajú predávať falošné lieky. Experti spoločnosti ESET nevylučujú, že hlavný kyberútok bol vykonaný pomocou týchto zdrojov, pomocou nevyžiadanej pošty a phishingu.

Ako sa Bad Rabbit nakazí

Experti z Computer Forensics Laboratory skúmali, ako sa vírus dostal do počítačov používateľov. Ukázalo sa, že vo väčšine prípadov bol vírus Bad Rabbit ransomware distribuovaný ako aktualizácia programu Adobe Flash. To znamená, že vírus nevyužíval v operačnom systéme žiadne zraniteľné miesta, ale nainštalovali ho samotní používatelia, ktorí jeho inštaláciu nevedomky schválili v domnení, že aktualizujú doplnok Adobe Flash. Keď vírus vstúpil do miestnej siete, ukradol prihlasovacie údaje a heslá z pamäte a rozšíril sa do ďalších počítačových systémov.

Ako hackeri vydierajú peniaze

Po nainštalovaní vírusu ransomware do počítača zašifruje uložené informácie. Potom používateľom príde správa, že aby získali prístup k svojim údajom, mali by uskutočniť platbu na uvedenom webe na darknete. Na to musíte najskôr nainštalovať špeciálny prehliadač Tor. Za to, že sa počítač odomkne, počítačoví zločinci vymáhajú platbu vo výške 0,05 bitcoinu. K dnešnému dňu pri cene 1 bitcoinu 5 600 dolárov je to zhruba 280 dolárov na odomknutie počítača. Na uskutočnenie platby je používateľovi poskytnuté časové obdobie rovnajúce sa 48 hodinám. Po uplynutí tejto lehoty, ak nebola požadovaná čiastka prevedená na elektronický účet útočníka, sa suma zvýši.

Ako sa chrániť pred vírusom

  1. Aby ste sa chránili pred infekciou vírusom Bad Rabbit, mali by ste zablokovať prístup z informačného prostredia do vyššie uvedených domén.
  2. Pre domácich používateľov je potrebné aktualizovať aktuálnu verziu systému Windows a antivírusový program. V tomto prípade bude škodlivý súbor detekovaný ako vírus ransomware, čo vylúči možnosť jeho inštalácie do počítača.
  3. Tí používatelia, ktorí používajú vstavaný antivírusový program operačného systému Windows, už majú ochranu pred týmto ransomware. Je implementovaný v aplikácii Windows Defender Antivirus.
  4. Vývojári antivírusového programu od spoločnosti Kaspersky Lab radia všetkým používateľom, aby si pravidelne zálohovali svoje údaje. Odborníci okrem toho odporúčajú zablokovať spustenie súborov c: \ windows \ infpub.dat, c: \ WINDOWS \ cscc.dat a tiež, ak je to možné, zakázať používanie služby WMI.

Záver

Každý z používateľov počítačov by si mal pamätať, že kybernetická bezpečnosť by mala byť pri práci v sieti na prvom mieste. Preto by ste mali vždy monitorovať používanie iba osvedčených informačných zdrojov a starostlivo používať e -mail a sociálne siete. Práve prostredníctvom týchto zdrojov sa najčastejšie šíria rôzne vírusy. Základné pravidlá správania sa v informačnom prostredí odstránia problémy, ktoré vzniknú počas vírusového útoku.

Podľa spoločnosti Kaspersky Lab to môže byť predzvesť tretej vlny vírusov ransomwaru. Prvé dve boli senzačné WannaCry a Petya (alias NotPetya). Experti na kybernetickú bezpečnosť informovali agentúru MIR 24 o vzniku nového sieťového malvéru a o tom, ako sa brániť pred jeho silným útokom.

Väčšina obetí útoku zlého králika je v Rusku. Na území Ukrajiny, Turecka a Nemecka je ich výrazne menej, poznamenal vedúci oddelenia antivírusového výskumu v Kaspersky Lab. Vyacheslav Zakorzhevsky... Pravdepodobne druhou najaktívnejšou krajinou boli krajiny, kde používatelia aktívne sledujú ruské internetové zdroje.

Keď malware napadne počítač, zašifruje v ňom súbory. Šíri sa pomocou webového prenosu z hacknutých internetových zdrojov, medzi ktorými boli predovšetkým weby federálnych ruských médií, ako aj počítače a servery kyjevského metra, ukrajinského ministerstva infraštruktúry a medzinárodného letiska v Odese. Zaznamenaný bol aj neúspešný pokus o útok na ruské banky z prvej dvadsiatky.

Skutočnosť, že Bad Rabbit napadol Fontanku, Interfax a množstvo ďalších publikácií, včera oznámila spoločnosť Group-IB, ktorá sa špecializuje na informačnú bezpečnosť. Ukázala to analýza vírusového kódu Bad Rabbit je spojený s ransomvérom Not Petya, ktorý v júni tento rok zaútočil na Ukrajinu na energetické, telekomunikačné a finančné spoločnosti.

Útok sa pripravoval niekoľko dní a napriek rozsahu infekcie požadoval ransomware od obetí útoku relatívne malé sumy - 0,05 bitcoinu (to je zhruba 283 dolárov alebo 15 700 rubľov). Výkupné bude mať 48 hodín. Po uplynutí tejto lehoty sa suma zvyšuje.

Experti Group-IB sa domnievajú, že hackeri s najväčšou pravdepodobnosťou nemajú v úmysle zarobiť peniaze. Ich pravdepodobným cieľom je otestovať úroveň ochrany sietí kritickej infraštruktúry v podnikoch, ministerstvách a súkromných spoločnostiach.

Je ľahké stať sa obeťou útoku

Keď používateľ navštívi infikovaný web, škodlivý kód o ňom odošle informácie na vzdialený server. Ďalej sa zobrazí vyskakovacie okno so žiadosťou o stiahnutie aktualizácie pre Flash Player, ktorá je falošná. Ak používateľ schválil operáciu „Inštalovať / Inštalovať“, do počítača sa stiahne súbor, ktorý následne spustí kodér Win32 / Filecoder.D v systéme. Ďalej bude prístup k dokumentom zablokovaný, na obrazovke sa zobrazí správa o výkupnom.

Vírus Bad Rabbit vyhľadá v sieti otvorené sieťové zdroje, potom spustí nástroj na zhromažďovanie poverení na infikovanom počítači a toto „správanie“ sa líši od svojich predchodcov.

Odborníci z medzinárodného vývojára antivírusového softvéru Eset NOD 32 potvrdili, že Bad Rabbit je nová modifikácia vírusu Petya, ktorej princíp bol rovnaký - vírusom šifrované informácie a požadovali výkupné v bitcoinoch (množstvo bolo porovnateľné s Bad Rabbit - 300 dolárov). Nový malware opravuje chyby šifrovania súborov. Kód použitý vo víruse je určený na šifrovanie logických jednotiek, externých jednotiek USB a obrazov CD / DVD, ako aj zavádzacích oddielov systémových diskov.

Keď už hovoríme o publiku, na ktoré zaútočil Bad Rabbit, vedúci podpory predaja, ESET Rusko Vitalij Zemskikh uviedol, že 65% útokov zastavených antivírusovými produktmi spoločnosti sa stalo v Rusku. V opačnom prípade geografia nového vírusu vyzerá takto:

Ukrajina - 12,2%

Bulharsko - 10,2%

Turecko - 6,4%

Japonsko - 3,8%

ostatné - 2,4%

„Ransomware používa na šifrovanie diskov obete známy open source softvér s názvom DiskCryptor. Obrazovka uzamknutej správy, ktorú používateľ vidí, je takmer identická s uzamknutými obrazovkami Petya a NotPetya. Toto je však jediná podobnosť, ktorú sme medzi týmito dvoma škodlivými softvérmi doteraz pozorovali. Vo všetkých ostatných aspektoch je BadRabbit úplne nový a jedinečný typ ransomwaru, “hovorí technický riaditeľ spoločnosti Check Point Software Technologies. Nikita Durov.

Ako sa chrániť pred zlým králikom?

Majitelia iných operačných systémov ako Windows si môžu vydýchnuť, pretože nový vírus ransomware robí zraniteľné iba počítače s touto „osou“.

Na ochranu pred sieťovým malvérom odborníci odporúčajú vytvoriť na počítači súbor C: \ windows \ infpub.dat a súčasne preň nastaviť práva iba na čítanie - v sekcii pre správu je to jednoduché. Zablokujete tak spustenie súboru a všetky dokumenty prichádzajúce zvonku nebudú šifrované, aj keď sa nakazia. Aby ste v prípade vírusovej infekcie neprišli o cenné údaje, urobte si teraz zálohu (zálohu). A samozrejme stojí za to pripomenúť, že zaplatenie výkupného je pasca, ktorá nezaručuje, že odomknete počítač.

Pripomeňme, že vírus sa v máji tohto roku rozšíril najmenej do 150 krajín sveta. Šifroval informácie a podľa rôznych zdrojov požadoval zaplatenie výkupného od 300 do 600 dolárov. Trpelo ňou viac ako 200 tisíc používateľov. Podľa jednej z verzií jeho tvorcovia zobrali za základ americký malware NSA Eternal Blue.

Alla Smirnova hovorila s odborníkmi

Bad Rabbit je šifrovací vírus ransomware. Objavil sa pomerne nedávno a je zameraný hlavne na počítače používateľov v Rusku a na Ukrajine a čiastočne aj v Nemecku a Turecku.

Princíp fungovania vírusov ransomware je vždy rovnaký: pri vstupe do počítača škodlivý program šifruje systémové súbory a údaje používateľa a blokuje prístup k počítaču pomocou hesla. Na obrazovke sa zobrazí iba okno vírusu, požiadavky útočníka a číslo účtu, na ktorého odoslanie požaduje prevod peňazí. Po rozsiahlej distribúcii kryptomien sa stalo populárnym požadovať výkupné v bitcoinoch, pretože transakcie s nimi je zvonku mimoriadne ťažké sledovať. To isté robí aj zlý králik. Využíva zraniteľné miesta v operačnom systéme, najmä v programe Adobe Flash Player, a infiltruje sa pod rúškom jeho aktualizácie.

Po infekcii BadRabbit vytvorí súbor infpub.dat v priečinku Windows, ktorý vytvorí ostatné programové súbory: cscc.dat a dispci.exe, ktoré vykonajú vlastné zmeny v nastaveniach MBR disku používateľa a vytvoria si vlastné úlohy. podobne ako Plánovač úloh. Tento škodlivý program má vlastnú osobnú webovú stránku o výkupnom, používa šifrovaciu službu DiskCryptor, šifruje pomocou metód RSA-2048 a AE a tiež monitoruje všetky zariadenia pripojené k tomuto počítaču a pokúša sa ich tiež nakaziť.

Podľa hodnotenia spoločnosti Symantec bol vírus vystavený nízkemu ohrozeniu a podľa odborníkov ho vytvorili rovnakí vývojári ako vírusy detegované niekoľko mesiacov pred Bad Rabbit, NotPetya a Petya, pretože majú podobné pracovné algoritmy. Ransomware Bad Rabbit sa prvýkrát objavil v októbri 2017 a jeho prvými obeťami boli internetové noviny Fontanka, množstvo médií a webová stránka tlačovej agentúry Interfax. Útoku bola vystavená aj spoločnosť Beeline, hrozbe sa však podarilo včas zabrániť.

Poznámka: Našťastie programy na detekciu takýchto hrozieb sú teraz účinnejšie ako predtým a riziko infekcie týmto vírusom sa znížilo.

Odstráňte Bad Rabbit virus

Oprava bootloadera

Ako vo väčšine prípadov tohto typu, môžete sa pokúsiť opraviť bootloader Windows, aby ste eliminovali hrozbu. V prípade Windows 10 a Windows 8 na to musíte pripojiť inštalačnú distribúciu systému k USB alebo DVD a po zavedení z neho prejdite na možnosť „Opraviť počítač“. Potom musíte prejsť na „Riešenie problémov“ a vybrať „Príkazový riadok“.

Teraz zostáva zadávať príkazy jeden po druhom, zakaždým stlačením klávesu Enter po zadaní nasledujúceho príkazu:

  1. bootrec / FixMbr
  2. bootrec / FixBoot
  3. bootrec / ScanOs
  4. bootrec / RebuildBcd

Po vykonaných operáciách - ukončite a reštartujte počítač. Na vyriešenie problému to často stačí.
V prípade systému Windows 7 sú kroky rovnaké, iba tam sa „Príkazový riadok“ nachádza v „Možnosti obnovenia systému“ v distribučnej inštalácii.

Odstránenie vírusu pomocou núdzového režimu

Ak chcete použiť túto metódu, musíte vstúpiť do núdzového režimu so sieťou. Je podporovaný sieťou, nie jednoduchým núdzovým režimom. V systéme Windows 10 to možno vykonať znova prostredníctvom distribučnej inštalácie. Po spustení z neho v okne pomocou tlačidla „Inštalovať“ stlačte kombináciu klávesov Shift + F10 a zadajte do poľa:

bcdedit / nastaviť (predvolené) sieť bezpečného spustenia

V systéme Windows 7 môžete pri zapnutí počítača jednoducho niekoľkokrát stlačiť kláves F8 a v zozname, ktorý sa zobrazí, vybrať tento režim spustenia.
Po vstupe do núdzového režimu je hlavným cieľom skenovanie operačného systému, či neobsahuje hrozby. Je lepšie to urobiť pomocou osvedčených nástrojov, ako sú Reimage alebo Malwarebytes Anti-Malware.

Odstráňte hrozbu pomocou Centra obnovy

Ak chcete použiť túto metódu, musíte znova použiť „príkazový riadok“, ako je to uvedené vyššie, a po spustení zadajte príkaz cd restore a potvrďte stlačením klávesu Enter. Potom musíte zadať rstrui.exe. Otvorí sa okno programu, v ktorom sa môžete vrátiť k predchádzajúcemu bodu obnovenia, ktorý predchádzal infekcii.