Včera, 24. októbra 2017, veľké ruské médiá, ako aj množstvo ukrajinských štátnych inštitúcií neznámych útočníkov. Medzi obeťami boli Interfax, Fontanka a najmenej jedna ďalšia nemenovaná internetová publikácia. Podľa médií o problémoch informovalo aj medzinárodné letisko v Odese, kyjevské metro a ukrajinské ministerstvo infraštruktúry. Podľa analytikov skupiny-IB sa zločinci pokúsili napadnúť aj bankovú infraštruktúru, tieto pokusy však neboli úspešné. Experti z ESETu zasa tvrdia, že útoky postihli používateľov z Bulharska, Turecka a Japonska.

Ako sa ukázalo, prerušenia práce spoločností a vládnych agentúr neboli spôsobené masívnymi útokmi DDoS, ale ransomvérom s názvom Bad Rabbit (niektorí odborníci radšej píšu BadRabbit bez medzery).

Včera sa o malware a jeho mechanizmoch vedelo málo: bolo oznámené, že ransomware požaduje výkupné vo výške 0,05 bitcoinu a experti skupiny IB uviedli, že útok sa pripravoval niekoľko dní. Na webe kybernetických zločincov boli napríklad nájdené dva skripty JS a podľa informácií zo servera bol jeden z nich aktualizovaný 19. októbra 2017.

Teraz, aj keď od začiatku útokov neprešiel ani deň, analýzu ransomwaru už vykonali odborníci z takmer všetkých popredných spoločností v oblasti informačnej bezpečnosti na svete. Čo je teda Bad Rabbit a mali by sme očakávať novú epidémiu ransomwaru ako WannaCry alebo NotPetya?

Ako Bad Rabbit spôsobil narušenie činnosti veľkých médií, keď išlo o falošné aktualizácie Flash? Podľa ESET , Emsisoft a Fox-IT, Po infekcii malware použil nástroj Mimikatz na extrahovanie hesiel z LSASS a mal tiež zoznam najbežnejších prihlasovacích údajov a hesiel. Malware to všetko použil na to, aby sa prostredníctvom SMB a WebDAV rozšíril na iné servery a pracovné stanice umiestnené v rovnakej sieti s infikovaným zariadením. Odborníci z vyššie uvedených spoločností a zamestnanci spoločnosti Cisco Talos sa zároveň domnievajú, že v tomto prípade sa zaobišli bez nástroja odcudzeného zo špeciálnych služieb, ktorý používa diery v SMB. Pripomeniem, že vírusy WannaCry a NotPetya sa šírili pomocou tohto konkrétneho zneužitia.

Odborníkom sa však stále podarilo nájsť určité podobnosti medzi Bad Rabbit a Petya (NotPetya). Ransomware napríklad nielen šifruje súbory používateľov pomocou open source programu DiskCryptor, ale upravuje aj MBR (Master Boot Record), potom reštartuje počítač a zobrazí správu o výkupnom.

Aj keď je správa z požiadaviek kyberzločincov takmer identická so správou od operátorov NotPetya, názory odborníkov na prepojenie Bad Rabbit a NotPetya sa mierne líšia. Analytici spoločnosti Intezer napríklad vypočítali zdrojový kód škodlivého softvéru

Ransomware Bad Rabbit alebo Diskcoder D. Spúšťa podnikové siete veľkých a stredných organizácií, pričom blokuje všetky siete.

Zlého králika alebo „zlého králika“ možno len ťažko nazvať priekopníkom - predchádzal mu ransomware Petya a WannaCry.

Bad Rabbit - aký druh vírusu

Šírenie nového vírusu skúmali odborníci antivírusovej spoločnosti ESET a zistili, že Bad Rabbit prenikol do počítačov obetí pod rúškom aktualizácie Adobe Flash pre prehliadač.

Antivírusová spoločnosť sa domnieva, že Win32 / Diskcoder.D, prezývaný Bad Rabbit, je upravenou verziou Win32 / Diskcoder.C, známejšou ako Petya / NotPetya, ktorá v júni zasiahla IT systémy organizácií vo viacerých krajinách. Asociácia medzi Bad Rabbit a NotPetya je označená zhodami v kóde.

Útok využíva program Mimikatz, ktorý zachytáva prihlasovacie údaje a heslá na infikovanom počítači. V kóde sú už zaregistrované prihlasovacie údaje a heslá pre pokusy o získanie prístupu pre správcu.

Nový škodlivý program opravuje chyby v šifrovaní súborov - kód použitý vo víruse je určený na šifrovanie logických jednotiek, externých jednotiek USB a obrazov CD / DVD, ako aj zavádzacích oddielov systémového disku. Odborníci na dešifrovanie teda budú musieť stráviť veľa času na odhalenie tajomstva vírusu Bad Rabbit, tvrdia odborníci.

Nový vírus podľa expertov funguje podľa štandardnej schémy pre poskytovateľov šifrovania - spadajúci do systému, ktorý nikto nevie, odkiaľ, kóduje súbory, ktorých dešifrovanie hackeri požadujú výkupné za bitcoiny.

Odomknutie jedného počítača bude stáť 0,05 bitcoinu, čo je pri súčasnom výmennom kurze zhruba 283 dolárov. V prípade zaplatenia výkupného podvodníci odošlú špeciálny kľúčový kód, ktorý obnoví normálnu prevádzku systému a nestratí všetko.

Ak používateľ neprevedie finančné prostriedky do 48 hodín, výkupné sa zvýši.

Je však potrebné pripomenúť, že výkupné môže byť pascou, ktorá nezaručuje odomknutie počítača.

ESET poznamenáva, že v súčasnej dobe neexistuje žiadna komunikácia medzi škodlivým softvérom a vzdialeným serverom.

Vírus najviac zasiahol ruských používateľov a v menšej miere aj spoločnosti v Nemecku, Turecku a na Ukrajine. K šíreniu došlo prostredníctvom infikovaných médií. Známe infikované stránky už boli zablokované.

ESET sa domnieva, že štatistiky útokov sa do značnej miery zhodujú s geografickým rozložením stránok obsahujúcich škodlivý JavaScript.

Ako sa chrániť

Špecialisti spoločnosti Group-IB, ktorá sa zaoberá prevenciou a vyšetrovaním počítačovej kriminality, poskytli odporúčania, ako sa chrániť pred vírusom Bad Rabbit.

Na ochranu pred sieťovým škodcom musíte predovšetkým vytvoriť vo svojom počítači súbor C: \ windows \ infpub.dat a v sekcii správy mu nastaviť práva iba na čítanie.

Touto akciou bude zablokované spustenie súboru a všetky dokumenty prichádzajúce zvonku nebudú šifrované, aj keď sú infikované. Je potrebné vytvoriť záložnú kópiu všetkých cenných údajov, aby sa v prípade infekcie nestratili.

Experti Group-IB tiež odporúčajú zablokovať IP adresy a názvy domén, z ktorých boli distribuované škodlivé súbory, a používať na používateľov blokovanie automaticky otváraných okien.

Odporúča sa tiež rýchlo izolovať počítače v systéme detekcie narušenia. Používatelia počítačov PC by mali tiež skontrolovať relevantnosť a integritu záloh kľúčových uzlov siete a aktualizovať svoje operačné systémy a systémy zabezpečenia.

"Pokiaľ ide o politiku hesiel: nastavením skupinovej politiky zakážte ukladanie hesiel na server LSA Dump vo formáte jasného textu. Zmeňte všetky heslá na zložité," dodala spoločnosť.

Predchodcovia

V máji 2017 sa vírus WannaCry rozšíril do najmenej 150 krajín sveta. Šifroval informácie a podľa rôznych zdrojov požadoval zaplatenie výkupného od 300 do 600 dolárov.

Trpelo ňou viac ako 200 tisíc používateľov. Podľa jednej z verzií jeho tvorcovia zobrali za základ americký malware NSA Eternal Blue.

Globálny útok na vírus ransomwaru Petya 27. júna zasiahol IT systémy spoločností vo viacerých krajinách sveta, pričom väčšinou zasiahol Ukrajinu.

Napadnuté boli počítače s ropou, energiou, telekomunikáciami, farmaceutickými spoločnosťami a vládnymi agentúrami. Kybernetická polícia na Ukrajine uviedla, že útok na ransomware bol vykonaný prostredníctvom programu M.E.doc.

Materiál bol pripravený na základe otvorených zdrojov

Aktualizácia 27.10.2017. Vyhodnotenie možnosti dešifrovania. Schopnosť obnoviť súbory. Verdikty.

Čo sa stalo?

V utorok 24. októbra sme dostali oznámenia o rozsiahlych útokoch pomocou ransomwaru Bad Rabbit. Zasiahnuté boli organizácie a jednotliví používatelia - väčšinou v Rusku, ale objavili sa aj správy o obetiach z Ukrajiny. Túto správu vidia obete:

Čo je to Bad Rabbit?

Bad Rabbit patrí do predtým neznámej rodiny ransomwaru.

Ako sa šíri?

Malvér sa šíri pomocou útoku typu drive-by: obeť navštívi legitímnu webovú stránku a stiahne sa z infraštruktúry organizátora útoku do svojho počítača. Zločinci to nepoužili, a tak na to, aby mohol používateľ nakaziť, musel ručne spustiť súbor prezlečený za inštalátor Adobe Flash. Naša analýza však potvrdzuje, že Bad Rabbit využil exploit EternalRomance na šírenie sa v podnikových sieťach. Rovnaký exploit použil aj ransomware ExPetr.

Našli sme niekoľko kompromitovaných zdrojov - všetky sú spravodajskými portálmi a mediálnymi webmi.

Na koho sa útok zameriava?

Väčšina obetí je v Rusku. Podobné, ale menej masívne útoky postihli ďalšie krajiny - Ukrajinu, Turecko a Nemecko. Celkový počet cieľov podľa štatistík KSN dosahuje 200.

Kedy Kaspersky Lab zistila hrozbu?

Pôvodný vektor útoku sme mohli vystopovať úplne na začiatku, ráno 24. októbra. Aktívna fáza trvala do poludnia, aj keď jednotlivé útoky boli zaznamenané do 19.55 moskovského času. Server, z ktorého bolo distribuované kvapkadlo na králiky Bad, bol v ten večer vypnutý.

Ako sa Bad Rabbit líši od ransomwaru ExPetr? Alebo je to ten istý malware?

Podľa našich pozorovaní teraz hovoríme o cielenom útoku na podnikové siete, jeho metódy sú podobné tým, ktoré sa používajú v čase. Analýza kódu Bad Rabbit navyše ukázala jeho viditeľnú podobnosť s kódom ExPetr.

Technické detaily

Podľa našich informácií sa ransomware rozšíri prostredníctvom útoku autom. Dropper ransomwaru je načítaný z adresy hxxp: // 1dnscontrol [.] Com / flash_install.php.

Obete sú presmerované na tento škodlivý zdroj z legitímnych spravodajských serverov.

Stiahnutý súbor install_flash_player.exe musí obeť spustiť ručne. Na správnu funkciu súbor vyžaduje administrátorské práva, ktoré požaduje prostredníctvom štandardného oznámenia UAC. Po spustení malware uloží škodlivú knižnicu DLL ako C: Windowsinfpub.dat a spustí ju pomocou programu rundll32.

Pseudokód škodlivého postupu inštalácie DLL

Zdá sa, že knižnica infpub.dat hrubo núti poverenia NTLM počítačom so systémom Windows s pseudonáhodnými adresami IP.

Pevne kódovaný zoznam poverení

Knižnica infpub.dat tiež nainštaluje škodlivý spustiteľný súbor dispci.exe v C: Windows a vytvorí úlohu na jeho spustenie.

Pseudokód postupu, ktorý vytvára úlohu na spustenie škodlivého spustiteľného súboru

Infpub.dat navyše funguje ako typický ransomware ransomware: vyhľadáva údaje obete pomocou vstavaného zoznamu rozšírení a šifruje súbory pomocou verejného 2048-bitového kľúča RSA, ktorý patrí útočníkom.

Verejný kľúč útočníkov a zoznam rozšírení

Parametre verejného kľúča:

Verejný kľúč: (2048 bitov)
Modul:
00: e5: c9: 43: b9: 51: 6b: e6: c4: 31: 67: e7: de: 42: 55:
6f: 65: c1: 0a: d2: 4e: 2e: 09: 21: 79: 4a: 43: a4: 17: d0:
37: b5: 1e: 8e: ff: 10: 2d: f3: df: cf: 56: 1a: 30: be: ed:
93: 7c: 14: d1: b2: 70: 6c: f3: 78: 5c: 14: 7f: 21: 8c: 6d:
95: e4: 5e: 43: c5: 71: 68: 4b: 1a: 53: a9: 5b: 11: e2: 53:
a6: e4: a0: 76: 4b: c6: a9: e1: 38: a7: 1b: f1: 8d: fd: 25:
4d: 04: 5c: 25: 96: 94: 61: 57: fb: d1: 58: d9: 8a: 80: a2:
1d: 44: eb: e4: 1f: 1c: 80: 2e: e2: 72: 52: e0: 99: 94: 8a:
1a: 27: 9b: 41: d1: 89: 00: 4c: 41: c4: c9: 1b: 0b: 72: 7b:
59: 62: c7: 70: 1f: 53: fe: 36: 65: e2: 36: 0d: 8c: 1f: 99:
59: f5: b1: 0e: 93: b6: 13: 31: fc: 15: 28: da: ad: 1d: a5:
f4: 2c: 93: b2: 02: 4c: 78: 35: 1d: 03: 3c: e1: 4b: 0d: 03:
8d: 5b: d3: 8e: 85: 94: a4: 47: 1d: d5: ec: f0: b7: 43: 6f:
47: 1e: 1c: a2: 29: 50: 8f: 26: c3: 96: d6: 5d: 66: 36: dc:
0b: ec: a5: fe: ee: 47: cd: 7b: 40: 9e: 7c: 1c: 84: 59: f4:
81: b7: 5b: 5b: 92: f8: dd: 78: fd: b1: 06: 73: e3: 6f: 71:
84: d4: 60: 3f: a0: 67: 06: 8e: b5: dc: eb: 05: 7c: 58: ab:
1f: 61
Exponent: 65537 (0x10001)

style = "font-family: Consolas, Monaco, monospace;">

Zdá sa, že spustiteľný súbor dispci.exe je založený na kóde právneho nástroja DiskCryptor. Funguje ako šifrovací modul disku a súbežne inštaluje upravený zavádzač, čím blokuje normálny proces zavádzania infikovaného systému.

Pri analýze vzoriek tejto hrozby sme zaznamenali zaujímavý detail: zrejme sú autormi škodlivého programu fanúšikovia Game of Thrones. Niektoré riadky v kóde predstavujú mená postáv z tohto vesmíru.

Mená drakov z „Hry o tróny“

Mená postáv z Game of Thrones

Šifrovacia schéma

Ako sme už uviedli, Bad Rabbit ransomware šifruje súbory a pevný disk obete. Pre súbory sa používajú nasledujúce algoritmy:

1. AES-128-CBC
2. RSA-2048

Toto je typická schéma, ktorú používa ransomware.

Je zaujímavé, že ransomware uvádza všetky spustené procesy a porovnáva hash v mene každého procesu so zoznamom hash, ktoré má. Použitý hashovací algoritmus je podobný algoritmu, ktorý používa malware exPetr.

Porovnanie rutín hashovania Bad Rabbit a ExPetr

Špeciálna vetva vykonávania programu

Procedúra inicializácie vlajok za behu

Úplný zoznam hashov z názvov procesov:

Oddiely pevného disku obete sú šifrované pomocou ovládača dcrypt.sys programu DiskCryptor (je načítaný do C: Windowscscc.dat). Šifrátor zašle tomuto kódu potrebné kódy IOCTL. Niektoré funkcie sú prevzaté „tak, ako sú“ zo zdrojov programu DiskCryptor (drv_ioctl.c), iné sa zdajú byť pridané vývojármi škodlivého softvéru.

Diskové oblasti sú šifrované ovládačom DiskCryptor pomocou AES v režime XTS. Heslo je vygenerované spoločnosťou dispci.exe pomocou funkcie WinAPI CryptGenRandom a má 32 znakov.

Hodnotenie uskutočniteľnosti dešifrovania

Naše údaje naznačujú, že Bad Rabbit, na rozdiel od ExPetr, nebol vytvorený ako zmija (skôr sme napísali, že tvorcovia ExPetr sú technicky neschopní dešifrovať MFT šifrovaný pomocou GoldenEye). Algoritmus malwaru predpokladá, že útočníci za zlým králikom majú potrebné prostriedky na jeho dešifrovanie.

Údaje, ktoré sa na obrazovke infikovaného počítača zobrazujú ako „osobný inštalačný kľúč č. 1“, sú binárnou štruktúrou šifrovanou RSA-2048 a kódovanou base64, ktorá obsahuje nasledujúce informácie z infikovaného systému:

Útočníci môžu použiť svoj súkromný kľúč RSA na dešifrovanie tejto štruktúry a odoslať heslo na dešifrovanie disku obeti.

Upozorňujeme, že hodnota poľa id odovzdaného do dispci.exe je jednoducho 32-bitové číslo používané na rozlíšenie medzi infikovanými počítačmi, a už vôbec nie kľúč AES na šifrovanie disku, ako sa uvádza v niektorých správach publikovaných na internete.

Pri analýze sme pri ladení extrahovali heslo vytvorené škodlivým softvérom a pokúsili sme sa ho použiť v uzamknutom systéme po reštarte - heslo prišlo a sťahovanie pokračovalo.

Kybernetickí zločinci bohužiaľ nie sú schopní dešifrovať údaje na diskoch bez kľúča RSA-2048: symetrické kľúče sa bezpečne generujú na strane škodlivého softvéru, čo v praxi vylučuje možnosť ich hádania.

Našli sme však chybu v kóde dispci.exe: vygenerované heslo nie je odstránené z pamäte, čo dáva malú šancu získať ho skôr, ako sa dispci.exe dokončí. Na nasledujúcom obrázku môžete vidieť, že hoci premenná dc_pass (ktorá bude odovzdaná ovládaču) bude po použití bezpečne vymazaná, neplatí to pre premennú rand_str, ktorá obsahuje kópiu hesla.

Pseudokód procedúry, ktorá generuje heslo a šifruje diskové oblasti

Šifrovanie súborov

Ako sme už uviedli, Trojan používa typickú schému šifrovania súborov. Generuje náhodný reťazec dlhý 32 bajtov a používa ho v algoritme derivácie kľúčov. Na vytvorenie tohto reťazca sa bohužiaľ používa funkcia CryptGenRandom.

Algoritmus derivácie kľúčov

Šifrované heslo je spolu s informáciami o infikovanom systéme zapísané do súboru Readme ako „osobný inštalačný kľúč č. 2“.

Zaujímavý fakt: malware nešifruje súbory s atribútom iba na čítanie.

Schopnosť obnovy súboru

Zistili sme, že Bad Rabbit neodstraňuje tieňové kópie súborov po ich šifrovaní. To znamená, že ak bola služba tieňovej kópie povolená predtým, ako sa infekcia a šifrovanie celého disku z nejakého dôvodu nestalo, obeť môže obnoviť zašifrované súbory pomocou štandardných nástrojov systému Windows alebo nástrojov tretích strán.

Tieňové kópie neovplyvnené programom Bad Rabbit

Experti spoločnosti Kaspersky Lab podrobne analyzujú ransomware, aby zistili možné chyby v jeho kryptografických algoritmoch.

Firemným klientom spoločnosti Kaspersky Lab sa odporúča, aby:

• skontrolujte, či sú podľa odporúčania povolené všetky mechanizmy; uistite sa, že komponenty KSN a System Monitor nie sú vypnuté (v predvolenom nastavení sú aktívne);
• okamžite aktualizujte antivírusové databázy.

To by malo stačiť. Ako dodatočné opatrenia však odporúčame:

• zabrániť spusteniu súborov C: Windowsinfpub.dat a C: Windowscscc.dat v aplikácii Kaspersky Endpoint Security.
• nakonfigurujte a povoľte režim „Odmietnuť v predvolenom nastavení“ v komponente Kontrola spustenia aplikácie aplikácie Kaspersky Endpoint Security.

Produkty spoločnosti Kaspersky Lab definujú túto hrozbu ako:

• Trojan-Ransom.Win32.Gen.ftl
• Trojan-Ransom.Win32.BadRabbit
• DangerousObject.Multi.Generic
• PDM: Trojan.Win32.Generic
• Intrusion.Win.CVE-2017-0147.sa.leak

http: // 1dnscontrol [.] com /
- install_flash_player.exe
- C: Windowsinfpub.dat
- C: Windowsdispci.exe

style = "font-family: Consolas, Monaco, monospace;">

Koniec októbra tohto roku sa niesol v znamení vzniku nového vírusu, ktorý aktívne útočil na počítače firemných a domácich užívateľov. Nový vírus je ransomware s názvom Bad Rabbit, čo znamená zlý králik. Tento vírus napadol webové stránky niekoľkých ruských médií. Neskôr bol vírus nájdený aj v informačných sieťach ukrajinských podnikov. Napadli tam informačné siete metra, rôzne ministerstvá, medzinárodné letiská a ďalšie. O niečo neskôr bol podobný vírusový útok pozorovaný v Nemecku a Turecku, aj keď jeho aktivita bola výrazne nižšia ako na Ukrajine a v Rusku.

Škodlivý vírus je špeciálny doplnok, ktorý po vstupe do počítača šifruje jeho súbory. Po zašifrovaní informácií sa útočníci pokúšajú získať odmeny od používateľov za dešifrovanie ich údajov.

Šírenie vírusu

Experti z laboratória antivírusového softvéru ESET analyzovali algoritmus cesty šírenia vírusu a dospeli k záveru, že ide o upravený vírus, ktorý sa nedávno šíril ako vírus Petya.

Špecialisti laboratória ESET vypočítali, že distribúcia škodlivých doplnkov bola vykonaná zo zdroja 1dnscontrol.com a IP adresy IP5.61.37.209. S touto doménou a IP je spojených aj niekoľko ďalších zdrojov, vrátane secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.

Odborníci skúmali, že majitelia týchto stránok zaregistrovali mnoho rôznych zdrojov, napríklad prostredníctvom ktorých sa pomocou nevyžiadanej pošty pokúšajú predávať falošné lieky. Experti ESET nevylučujú, že hlavný kyberútok bol vykonaný pomocou týchto zdrojov, pomocou nevyžiadanej pošty a phishingu.

Ako sa Bad Rabbit nakazí

Experti z Computer Forensics Laboratory skúmali, ako sa vírus dostal do počítačov používateľov. Ukázalo sa, že vo väčšine prípadov bol vírus Bad Rabbit ransomware distribuovaný ako aktualizácia programu Adobe Flash. To znamená, že vírus nevyužíval v operačnom systéme žiadne zraniteľné miesta, ale nainštalovali ho samotní používatelia, ktorí jeho inštaláciu nevedomky schválili v domnení, že aktualizujú doplnok Adobe Flash. Keď vírus vstúpil do lokálnej siete, ukradol prihlasovacie údaje a heslá z pamäte a rozšíril sa do ďalších počítačových systémov.

Ako hackeri vydierajú peniaze

Po nainštalovaní vírusu ransomware do počítača šifruje uložené informácie. Potom používateľom príde správa, že aby získali prístup k svojim údajom, mali by uskutočniť platbu na uvedenom webe na darknete. Na to musíte najskôr nainštalovať špeciálny prehliadač Tor. Za to, že sa počítač odomkne, počítačoví zločinci vymáhajú platbu vo výške 0,05 bitcoinu. K dnešnému dňu pri cene 1 bitcoinu 5 600 dolárov je to zhruba 280 dolárov na odomknutie počítača. Na uskutočnenie platby je používateľovi poskytnuté časové obdobie rovnajúce sa 48 hodinám. Po uplynutí tejto lehoty, ak nebola požadovaná čiastka prevedená na elektronický účet útočníka, sa suma zvýši.

Ako sa chrániť pred vírusom

1. Aby ste sa chránili pred infekciou vírusom Bad Rabbit, mali by ste zablokovať prístup z informačného prostredia do vyššie uvedených domén.
2. Pre domácich používateľov je potrebné aktualizovať aktuálnu verziu systému Windows a antivírusový program. V takom prípade bude škodlivý súbor detekovaný ako vírus ransomware, čo vylúči možnosť jeho inštalácie do počítača.
3. Tí používatelia, ktorí používajú vstavaný antivírus operačného systému Windows, už majú ochranu pred týmto ransomware. Je implementovaný v aplikácii Windows Defender Antivirus.
4. Vývojári antivírusového programu od spoločnosti Kaspersky Lab radia všetkým používateľom, aby si pravidelne zálohovali svoje údaje. Odborníci okrem toho odporúčajú zablokovať spustenie súborov c: \ windows \ infpub.dat, c: \ WINDOWS \ cscc.dat a tiež, ak je to možné, zakázať používanie služby WMI.

Záver

Každý z používateľov počítačov by si mal pamätať, že kybernetická bezpečnosť pri práci v sieti by mala byť na prvom mieste. Preto by ste mali vždy monitorovať používanie iba osvedčených informačných zdrojov a starostlivo používať e -mail a sociálne siete. Práve prostredníctvom týchto zdrojov sa najčastejšie šíria rôzne vírusy. Základné pravidlá správania sa v informačnom prostredí odstránia problémy, ktoré vzniknú počas vírusového útoku.

Podľa spoločnosti Kaspersky Lab to môže byť predzvesť tretej vlny vírusov ransomwaru. Prvé dve boli senzačné WannaCry a Petya (alias NotPetya). Experti na kybernetickú bezpečnosť informovali agentúru MIR 24 o vzniku nového sieťového malvéru a o tom, ako sa brániť pred jeho silným útokom.

Väčšina obetí útoku zlého králika je v Rusku. Na území Ukrajiny, Turecka a Nemecka je ich výrazne menej, poznamenal vedúci oddelenia antivírusového výskumu v Kaspersky Lab. Vyacheslav Zakorzhevsky... Pravdepodobne druhou najaktívnejšou krajinou boli krajiny, kde používatelia aktívne sledujú ruské internetové zdroje.

Keď malware napadne počítač, zašifruje v ňom súbory. Šíri sa pomocou webového prenosu z hacknutých internetových zdrojov, medzi ktorými boli predovšetkým weby federálnych ruských médií, ako aj počítače a servery kyjevského metra, ukrajinského ministerstva infraštruktúry a medzinárodného letiska v Odese. Zaznamenaný bol aj neúspešný pokus o útok na ruské banky z prvej dvadsiatky.

Skutočnosť, že Bad Rabbit napadol Fontanku, Interfax a množstvo ďalších publikácií, včera oznámila spoločnosť Group-IB, ktorá sa špecializuje na informačnú bezpečnosť. Ukázala to analýza vírusového kódu Bad Rabbit je spojený s ransomvérom Not Petya, ktorý v júni tento rok zaútočil na Ukrajinu na energetické, telekomunikačné a finančné spoločnosti.

Útok sa pripravoval niekoľko dní a napriek rozsahu infekcie požadoval ransomware od obetí útoku relatívne malé sumy - 0,05 bitcoinu (to je zhruba 283 dolárov alebo 15 700 rubľov). Výkupné bude mať 48 hodín. Po uplynutí tejto lehoty sa suma zvyšuje.

Experti Group-IB sa domnievajú, že hackeri s najväčšou pravdepodobnosťou nemajú v úmysle zarobiť peniaze. Ich pravdepodobným cieľom je otestovať úroveň ochrany sietí kritickej infraštruktúry v podnikoch, ministerstvách a súkromných spoločnostiach.

Je ľahké stať sa obeťou útoku

Keď používateľ navštívi infikovaný web, škodlivý kód o ňom odošle informácie na vzdialený server. Ďalej sa zobrazí vyskakovacie okno so žiadosťou o stiahnutie aktualizácie pre Flash Player, ktorá je falošná. Ak používateľ schválil operáciu „Inštalovať / Inštalovať“, do počítača sa stiahne súbor, ktorý následne spustí kodér Win32 / Filecoder.D v systéme. Ďalej bude prístup k dokumentom zablokovaný, na obrazovke sa zobrazí správa o výkupnom.

Vírus Bad Rabbit vyhľadá v sieti otvorené sieťové zdroje, potom spustí nástroj na zhromažďovanie poverení na infikovanom počítači a toto „správanie“ sa líši od svojich predchodcov.

Odborníci z medzinárodného vývojára antivírusového softvéru Eset NOD 32 potvrdili, že Bad Rabbit je nová modifikácia vírusu Petya, ktorej princíp bol rovnaký - vírusom šifrované informácie a požadovali výkupné v bitcoinoch (množstvo bolo porovnateľné s Bad Rabbit - 300 dolárov). Nový malware opravuje chyby šifrovania súborov. Kód použitý vo víruse je určený na šifrovanie logických jednotiek, externých jednotiek USB a obrazov CD / DVD, ako aj zavádzacích oddielov systémových diskov.

Keď už hovoríme o publiku, na ktoré zaútočil Bad Rabbit, vedúci podpory predaja, ESET Rusko Vitalij Zemskikh uviedol, že 65% útokov zastavených antivírusovými produktmi spoločnosti sa stalo v Rusku. V opačnom prípade geografia nového vírusu vyzerá takto:

Ukrajina - 12,2%

Bulharsko - 10,2%

Turecko - 6,4%

Japonsko - 3,8%

ostatné - 2,4%

„Ransomware používa na šifrovanie diskov obete známy open source softvér s názvom DiskCryptor. Obrazovka uzamknutej správy, ktorú používateľ vidí, je takmer identická s uzamknutými obrazovkami Petya a NotPetya. Toto je však jediná podobnosť, ktorú sme medzi týmito dvoma škodlivými softvérmi doteraz pozorovali. Vo všetkých ostatných aspektoch je BadRabbit úplne nový a jedinečný typ ransomwaru, “hovorí technický riaditeľ spoločnosti Check Point Software Technologies. Nikita Durov.

Ako sa chrániť pred zlým králikom?

Majitelia iných operačných systémov ako Windows si môžu vydýchnuť, pretože nový vírus ransomware robí zraniteľné iba počítače s touto „osou“.

Na ochranu pred sieťovým malvérom odborníci odporúčajú vytvoriť na počítači súbor C: \ windows \ infpub.dat a súčasne preň nastaviť práva iba na čítanie - v sekcii pre správu je to jednoduché. Zablokujete tak spustenie súboru a všetky dokumenty prichádzajúce zvonku nebudú šifrované, aj keď sa nakazia. Aby ste v prípade vírusovej infekcie neprišli o cenné údaje, urobte si teraz zálohu (zálohu). A samozrejme stojí za to pripomenúť, že zaplatenie výkupného je pasca, ktorá nezaručuje, že odomknete počítač.

Pripomeňme, že vírus sa v máji tohto roku rozšíril najmenej do 150 krajín sveta. Šifroval informácie a podľa rôznych zdrojov požadoval zaplatenie výkupného od 300 do 600 dolárov. Trpelo ňou viac ako 200 tisíc používateľov. Podľa jednej z verzií jeho tvorcovia zobrali za základ americký malware NSA Eternal Blue.

Alla Smirnova hovorila s odborníkmi