Dün, 24 Ekim 2017, büyük Rus medyasının yanı sıra bir dizi Ukrayna devlet kurumunun kimliği belirsiz saldırganlar. Kurbanlar arasında Interfax, Fontanka ve en az bir başka isimsiz internet yayını vardı. Medyanın ardından Odessa Uluslararası Havalimanı, Kiev Metrosu ve Ukrayna Altyapı Bakanlığı da sorunlarla ilgili haberler yaptı. Group-IB'deki analistlere göre, suçlular bankacılık altyapılarına da saldırmaya çalıştı, ancak bu girişimler başarısız oldu. ESET uzmanları ise saldırıların Bulgaristan, Türkiye ve Japonya'dan kullanıcıları etkilediğini iddia ediyor.

Anlaşıldığı üzere, şirketlerin ve devlet kurumlarının işlerindeki kesintiler, büyük DDoS saldırılarından değil, Bad Rabbit adlı bir fidye yazılımından kaynaklanıyor (bazı uzmanlar BadRabbit'i boşluksuz yazmayı tercih ediyor).

Kötü amaçlı yazılım ve mekanizmaları hakkında dün çok az şey biliniyordu: Fidye yazılımının 0,05 bitcoin miktarında bir fidye talep ettiği bildirildi ve Group-IB uzmanları saldırının birkaç gündür hazırlandığını söyledi. Örneğin, siber suçluların web sitesinde iki JS komut dosyası bulundu ve sunucudan alınan bilgilere göre bunlardan biri 19 Ekim 2017'de güncellendi.

Şimdi, saldırıların başlamasının üzerinden bir gün bile geçmemiş olsa da, fidye yazılımlarının analizleri, dünyanın hemen hemen tüm önde gelen bilgi güvenliği şirketlerinden uzmanlar tarafından şimdiden yapılıyor. Peki Bad Rabbit nedir ve WannaCry veya NotPetya gibi yeni bir fidye yazılımı salgını beklemeli miyiz?

Bad Rabbit, sahte Flash güncellemeleri olduğunda büyük medya kuruluşlarında nasıl kesintiye neden oldu? Buna göre ESET , Emsisoft ve Fox-IT, virüs bulaştıktan sonra, kötü amaçlı yazılım LSASS'den parolaları çıkarmak için Mimikatz yardımcı programını kullandı ve ayrıca en yaygın oturum açma ve parolaların bir listesine sahipti. Kötü amaçlı yazılım, tüm bunları, SMB ve WebDAV aracılığıyla, virüslü cihazla aynı ağda bulunan diğer sunuculara ve iş istasyonlarına yayılmak için kullandı. Aynı zamanda, yukarıdaki şirketlerden uzmanlar ve Cisco Talos çalışanları, bu durumda, KOBİ'lerde delikler kullanan özel hizmetlerden çalınan bir araç olmadan yaptıklarına inanıyor. WannaCry ve NotPetya virüslerinin bu özel istismar kullanılarak yayıldığını hatırlatmama izin verin.

Ancak uzmanlar yine de Bad Rabbit ve Petya (NotPetya) arasında bazı benzerlikler bulmayı başardılar. Örneğin, fidye yazılımı yalnızca açık kaynaklı DiskCryptor kullanarak kullanıcı dosyalarını şifrelemekle kalmaz, aynı zamanda MBR'yi (Ana Önyükleme Kaydı) değiştirir, ardından bilgisayarı yeniden başlatır ve bir fidye mesajı görüntüler.

Siber suçluların taleplerinden gelen mesaj, NotPetya operatörlerinden gelen mesajla neredeyse aynı olsa da, Bad Rabbit ve NotPetya arasındaki bağlantı konusunda uzmanların görüşleri biraz farklı. Örneğin, Intezer analistleri, kötü amaçlı yazılımın kaynak kodunun

Bad Rabbit veya Diskcoder fidye yazılımı D. Tüm ağları bloke ederek büyük ve orta ölçekli kuruluşların kurumsal ağlarını başlatır.

Bad Rabbit veya "kötü tavşan" pek öncü olarak adlandırılamaz - ondan önce fidye yazılımı Petya ve WannaCry geldi.

Kötü Tavşan - ne tür bir virüs

Yeni virüsün yayılımı, antivirüs şirketi ESET'in uzmanları tarafından araştırıldı ve Bad Rabbit'in kurbanların bilgisayarlarına kisvesi altında sızdığı ortaya çıktı. Adobe güncellemeleri Tarayıcı için flaş.

Virüsten koruma şirketi, Bad Rabbit olarak adlandırılan Win32 / Diskcoder.D'nin, Haziran ayında çeşitli ülkelerdeki kuruluşların BT sistemlerini etkileyen Petya / NotPetya olarak bilinen Win32 / Diskcoder.C'nin değiştirilmiş bir sürümü olduğuna inanıyor. Bad Rabbit ve NotPetya arasındaki ilişki, koddaki eşleşmelerle belirtilir.

Saldırı, virüslü makinedeki oturum açma bilgilerini ve parolaları engelleyen Mimikatz programını kullanıyor. Ayrıca kodda, yönetici erişimi elde etme girişimleri için zaten kayıtlı oturum açma bilgileri ve şifreler vardır.

Yeni kötü amaçlı program, dosya şifrelemedeki hataları düzeltti - virüste kullanılan kod, mantıksal sürücüleri, harici USB sürücülerini ve CD / DVD görüntülerini ve ayrıca önyüklenebilir dosyaları şifrelemek için tasarlanmıştır. sistem bölümleri disk. Bu nedenle, uzmanlar, şifre çözme uzmanlarının Bad Rabbit virüsünün sırrını ortaya çıkarmak için çok zaman harcamak zorunda kalacağını söylüyor.

Uzmanlara göre yeni virüs, şifreleme sağlayıcıları için standart bir şemaya göre hareket ediyor - kimsenin bilmediği yerden sisteme giriyor, bilgisayar korsanlarının bitcoinlerde fidye talep ettiği şifrenin çözülmesi için dosyaları kodluyor.

Bir bilgisayarın kilidini açmak, mevcut döviz kurunda yaklaşık 283 dolar olan 0,05 bitcoin'e mal olacak. Fidyenin ödenmesi durumunda, dolandırıcılar, geri yüklemenizi sağlayacak özel bir anahtar kodu gönderecektir. normal iş sistem ve her şeyi kaybetmeyin.

Kullanıcı 48 saat içinde para transfer etmezse fidye artacaktır.

Ancak fidye ödemenin bilgisayarın kilidinin açılacağını garanti etmeyen bir tuzak olabileceğini hatırlamakta fayda var.

ESET, kötü amaçlı yazılım ile uzak sunucu arasında şu anda hiçbir iletişim olmadığını not eder.

Virüs en çok Rus kullanıcıları ve daha az ölçüde Almanya, Türkiye ve Ukrayna'daki şirketleri vurdu. Yayılma, virüslü medya aracılığıyla gerçekleşti. Bilinen virüslü siteler zaten engellendi.

ESET, saldırı istatistiklerinin, kötü amaçlı JavaScript içeren sitelerin coğrafi dağılımıyla büyük ölçüde eşleştiğine inanmaktadır.

kendinizi nasıl korursunuz

Siber suçların önlenmesi ve soruşturulmasıyla uğraşan Group-IB şirketinin uzmanları, kendinizi Bad Rabbit virüsünden nasıl koruyacağınız konusunda tavsiyelerde bulundu.

Özellikle bir ağ zararlısına karşı korunmak için bilgisayarınızda C:\windows\infpub.dat dosyasını oluşturmanız ve yönetim bölümünde onun salt okunur haklarını ayarlamanız gerekir.

Bu işlemle dosyanın yürütülmesi engellenecek ve dışarıdan gelen tüm belgeler virüslü olsalar bile şifrelenmeyecektir. oluşturmak gerekiyor destek olmak enfeksiyon durumunda kaybetmemek için tüm değerli veriler.

Group-IB uzmanları ayrıca ip adreslerinin engellenmesini ve alan isimleri hangi kötü amaçlı dosyaların dağıtıldığı, kullanıcılara açılır pencere engelleyicileri ayarlayın.

Ayrıca Saldırı Tespit Sistemindeki bilgisayarların hızlı bir şekilde izole edilmesi önerilir. PC kullanıcıları ayrıca önemli ağ düğümlerinin yedeklerinin uygunluğunu ve bütünlüğünü kontrol etmeli ve işletim sistemlerini ve güvenlik sistemlerini güncellemelidir.

"Şifre politikası açısından: ayarlar Grup ilkesi LSA Dump'ta şifrelerin düz metin olarak saklanmasına izin verme. Tüm şifreleri karmaşık şifrelerle değiştirin, "diye ekledi şirket.

öncekiler

Mayıs 2017'de WannaCry virüsü dünya çapında en az 150 ülkeye yayıldı. Bilgileri şifreledi ve çeşitli kaynaklara göre 300 ila 600 dolar arasında bir fidye ödemesini istedi.

200 binden fazla kullanıcı bundan zarar gördü. Sürümlerden birine göre, yaratıcıları temel aldı kötü amaçlı yazılım ABD NSA Ebedi Mavi.

Petya fidye yazılımı virüsünün 27 Haziran'daki küresel saldırısı, dünyanın çeşitli ülkelerindeki şirketlerin BT sistemlerini vurdu ve çoğunlukla Ukrayna'yı etkiledi.

Petrol, enerji, telekomünikasyon, ilaç şirketleri ve devlet kurumlarının bilgisayarlarına saldırı düzenlendi. Ukrayna siber polisi, fidye yazılımı saldırısının M.E.doc programı üzerinden gerçekleştirildiğini belirtti.

Materyal açık kaynaklara dayalı olarak hazırlanmıştır.

27.10.2017 güncellemesi. Şifre çözme olasılığının değerlendirilmesi. Dosyaları kurtarma yeteneği. Kararlar.

Ne oldu?

24 Ekim Salı günü, Bad Rabbit fidye yazılımının kullanıldığı büyük çaplı saldırı bildirimleri aldık. Kuruluşlar ve bireysel kullanıcılar etkilendi - çoğunlukla Rusya'da, ancak Ukrayna'dan da kurbanlar olduğu bildirildi. Bu mesaj kurbanlar tarafından görülür:

Kötü Tavşan nedir?

Bad Rabbit, daha önce bilinmeyen bir fidye yazılımı ailesine aittir.

Nasıl yayılır?

Kötü amaçlı yazılım, bir arabadan atlama saldırısı kullanılarak yayılacaktır: kurban meşru bir web sitesini ziyaret eder ve saldırıyı düzenleyenin altyapısından bilgisayarına indirilir. Suçlular bunu kullanmadı, bu nedenle kullanıcının virüs bulaştırmak için yükleyici kılığında bir dosyayı manuel olarak çalıştırması gerekiyordu. Adobe Flash... Ancak analizimiz, Bad Rabbit'in kurumsal ağlara yayılmak için EternalRomance istismarını kullandığını doğruluyor. Aynı istismar, ExPetr fidye yazılımı tarafından da kullanıldı.

Güvenliği ihlal edilmiş bir dizi kaynak bulduk - bunların tümü haber portalları ve medya siteleridir.

Saldırı kimleri hedefliyor?

Kurbanların çoğu Rusya'da. Benzer, ancak daha az kitlesel saldırılar diğer ülkeleri de etkiledi - Ukrayna, Türkiye ve Almanya. KSN istatistiklerine göre toplam hedef sayısı 200'e ulaşıyor.

Kaspersky Lab tehdidi ne zaman tespit etti?

En başta, 24 Ekim sabahı, orijinal saldırı vektörünün izini sürmeyi başardık. Aktif dönem öğlene kadar sürdü, ancak bireysel saldırılar 19.55 Moskova saatine kadar kaydedildi. Kötü tavşan damlalığının dağıtıldığı sunucu o akşam kapatıldı.

Bad Rabbit'in ExPetr fidye yazılımından farkı nedir? Yoksa aynı kötü amaçlı yazılım mı?

Gözlemlerimize göre, şimdi kurumsal ağlara yönelik bir hedefli saldırıdan bahsediyoruz, yöntemleri zaman içinde kullanılanlara benziyor. Ayrıca, Bad Rabbit kodunun analizi, ExPetr koduyla gözle görülür benzerliğini gösterdi.

Teknik detaylar

Bilgilerimize göre, fidye yazılımı bir araba saldırısı yoluyla yayılacak. Fidye yazılımı damlalığı, hxxp adresinden yüklenir: // 1dnscontrol [.] Com / flash_install.php.

Mağdurlar, meşru haber sitelerinden bu kötü niyetli kaynağa yönlendirilir.

İndirilen dosya install_flash_player.exe kurban tarafından manuel olarak başlatılmalıdır. İçin doğru iş dosya, standart bir UAC bildirimi aracılığıyla istediği yönetici haklarını gerektirir. Başlatılırsa, kötü amaçlı yazılım kötü amaçlı DLL'yi C: Windowsinfpub.dat olarak kaydeder ve rundll32 aracılığıyla başlatır.

Kötü amaçlı DLL yükleme prosedürünün sözde kodu

infpub.dat kitaplığı, sözde rasgele IP adreslerine sahip Windows makinelerine NTLM kimlik bilgilerini kaba bir şekilde zorluyor gibi görünüyor.

Sabit kodlanmış kimlik bilgileri listesi

infpub.dat kitaplığı ayrıca kötü amaçlı bir yürütülebilir dosya yükler dispci.exe v C: Pencereler ve onu çalıştırmak için bir görev oluşturur.

Kötü amaçlı bir yürütülebilir dosya başlatmak için bir görev oluşturan bir prosedürün sözde kodu

Ayrıca, infpub.dat tipik bir fidye yazılımı fidye yazılımı gibi davranır: yerleşik uzantı listesini kullanarak kurbanın verilerini bulur ve dosyaları saldırganlara ait genel 2048 bit RSA anahtarıyla şifreler.

Saldırganların genel anahtarı ve uzantıların listesi

Ortak anahtar parametreleri:

Açık Anahtar: (2048 bit)
Modül:
00: e5: c9: 43: b9: 51: 6b: e6: c4: 31: 67: e7: de: 42: 55:
6f: 65: c1: 0a: d2: 4e: 2e: 09: 21: 79: 4a: 43: a4: 17: d0:
37: b5: 1e: 8e: ff: 10: 2d: f3: df: cf: 56: 1a: 30: be: ed:
93: 7c: 14: d1: b2: 70: 6c: f3: 78: 5c: 14: 7f: 21: 8c: 6d:
95: e4: 5e: 43: c5: 71: 68: 4b: 1a: 53: a9: 5b: 11: e2: 53:
a6: e4: a0: 76: 4b: c6: a9: e1: 38: a7: 1b: f1: 8d: fd: 25:
4d: 04: 5c: 25: 96: 94: 61: 57: fb: d1: 58: d9: 8a: 80: a2:
1d: 44: eb: e4: 1f: 1c: 80: 2e: e2: 72: 52: e0: 99: 94: 8a:
1a: 27: 9b: 41: d1: 89: 00: 4c: 41: c4: c9: 1b: 0b: 72: 7b:
59: 62: c7: 70: 1f: 53: fe: 36: 65: e2: 36: 0d: 8c: 1f: 99:
59: f5: b1: 0e: 93: b6: 13: 31: fc: 15: 28: da: ad: 1d: a5:
f4: 2c: 93: b2: 02: 4c: 78: 35: 1d: 03: 3c: e1: 4b: 0d: 03:
8d: 5b: d3: 8e: 85: 94: a4: 47: 1d: d5: ec: f0: b7: 43: 6f:
47: 1e: 1c: a2: 29: 50: 8f: 26: c3: 96: d6: 5d: 66: 36: dc:
0b: ec: a5: fe: ee: 47: cd: 7b: 40: 9e: 7c: 1c: 84: 59: f4:
81: b7: 5b: 5b: 92: f8: dd: 78: fd: b1: 06: 73: e3: 6f: 71:
84: d4: 60: 3f: a0: 67: 06: 8e: b5: dc: eb: 05: 7c: 58: ab:
1f: 61
Üs: 65537 (0x10001)

style = "font-family: Consolas, Monaco, monospace;">

Dispci.exe yürütülebilir dosyası, DiskCryptor yasal yardımcı programının kodunu temel alıyor gibi görünüyor. Bir disk şifreleme modülü görevi görür ve değiştirilmiş bir önyükleyiciyi paralel olarak kurarak, virüslü sistemin normal önyükleme sürecini engeller.

Bu tehdidin örneklerini incelerken ilginç bir ayrıntıya dikkat çektik: Görünüşe göre kötü niyetli programın yazarları Game of Thrones hayranları. Koddaki bazı satırlar bu evrendeki karakterlerin isimlerini temsil ediyor.

Game of Thrones'daki ejderhaların isimleri

Game of Thrones karakter isimleri

Şifreleme şeması

Daha önce de belirttiğimiz gibi, Bad Rabbit fidye yazılımı dosyaları şifreler ve HDD kurbanlar. Dosyalar için aşağıdaki algoritmalar kullanılır:

1. AES-128-CBC
2. RSA-2048

Bu, fidye yazılımı tarafından kullanılan tipik bir şemadır.

İlginç bir şekilde, fidye yazılımı çalışan tüm süreçleri listeler ve her bir işlem adına hash'i sahip olduğu hash listesiyle karşılaştırır. Kullanılan karma algoritma, exPetr kötü amaçlı yazılımı tarafından kullanılana benzer.

Bad Rabbit ve ExPetr karma rutinlerinin karşılaştırılması

Program yürütmenin özel dalı

Çalışma zamanı bayrakları başlatma prosedürü

İşlem adlarından elde edilen karmaların tam listesi:

Kurbanın sabit disk bölümleri, DiskCryptor programının dcrypt.sys sürücüsü kullanılarak şifrelenir (C: Windowscscc.dat'a yüklenir). Şifreleyici gerekli IOCTL kodlarını bu sürücüye gönderir. Bazı işlevler DiskCryptor kaynaklarından (drv_ioctl.c) "olduğu gibi" alınırken, diğerleri kötü amaçlı yazılım geliştiricileri tarafından eklenmiş gibi görünüyor.

Disk bölümleri, XTS modunda AES kullanılarak DiskCryptor sürücüsü tarafından şifrelenir. Parola, dispci.exe tarafından WinAPI CryptGenRandom işlevi kullanılarak oluşturulur ve 32 karakter uzunluğundadır.

Şifre çözme fizibilite değerlendirmesi

Verilerimiz, ExPetr'den farklı olarak Kötü tavşanın bir engerek olarak yaratılmadığını gösteriyor (daha önce ExPetr'in yaratıcılarının teknik olarak GoldenEye ile şifrelenmiş bir MFT'nin şifresini çözemediklerini yazmıştık). Kötü amaçlı yazılımın davranışı, Kötü Tavşan'ın arkasındaki saldırganların şifresini çözmek için gerekli araçlara sahip olduğunu varsayar.

Etkilenen makinenin ekranında "kişisel kurulum anahtarı # 1" olarak görünen veriler, virüslü sistemden aşağıdaki bilgileri içeren RSA-2048 şifreli ve base64 kodlu bir ikili yapıdır:

Saldırganlar bu yapının şifresini çözmek için RSA özel anahtarını kullanabilir ve kurbana diskin şifresini çözmek için bir şifre gönderebilir.

Dispci.exe'ye iletilen id alanının değerinin, İnternette yayınlanan bazı raporlarda belirtildiği gibi, diski şifrelemek için hiçbir AES anahtarı değil, virüslü bilgisayarlar arasında ayrım yapmak için kullanılan 32 bitlik bir sayı olduğunu unutmayın.

Analiz sırasında, kötü amaçlı yazılım tarafından hata ayıklama altında oluşturulan şifreyi çıkardık ve yeniden başlatmanın ardından kilitli bir sistemde kullanmaya çalıştık - şifre geldi ve indirme devam etti.

Ne yazık ki, siber suçluların RSA-2048 anahtarı olmadan disklerdeki verilerin şifresini çözmeleri imkansızdır: simetrik anahtarlar, kötü amaçlı yazılım tarafında güvenli bir şekilde oluşturulur ve bu, pratikte tahmin etme olasılığını ortadan kaldırır.

Ancak dispci.exe kodunda bir hata bulduk: oluşturulan parola bellekten kaldırılmaz, bu da dispci.exe bitmeden önce parolayı alma şansı verir. Aşağıdaki ekran görüntüsünde, dc_pass değişkeni (sürücüye aktarılacak) kullanımdan sonra güvenle silinecek olsa da, bunun şifrenin bir kopyasını içeren rand_str değişkeni için geçerli olmadığını görebilirsiniz.

Parola oluşturan ve disk bölümlerini şifreleyen bir prosedür için sözde kod

Dosyaları şifreleme

Daha önce de belirttiğimiz gibi, Truva atı tipik bir dosya şifreleme şeması kullanır. 32 bayt uzunluğunda rastgele bir dize oluşturur ve bunu anahtar türetme algoritmasında kullanır. Ne yazık ki, bu dizeyi oluşturmak için CryptGenRandom işlevi kullanılır.

Anahtar türetme algoritması

Şifrelenmiş parola, virüslü sistemle ilgili bilgilerle birlikte Readme dosyasına "kişisel kurulum anahtarı # 2" olarak yazılır.

İlginç gerçek: Kötü amaçlı yazılım, salt okunur özniteliği olan dosyaları şifrelemez.

Dosya kurtarma özelliği

Bad Rabbit'in, şifrelendikten sonra dosyaların gölge kopyalarını silmediğini gördük. Bu, gölge kopya hizmeti enfeksiyondan önce etkinleştirildiyse ve herhangi bir nedenle tam disk şifrelemesi gerçekleşmediyse, kurbanın şifrelenmiş dosyaları standardı kullanarak kurtarabileceği anlamına gelir. Windows araçları veya üçüncü taraf yardımcı programları.

Bad Rabbit'ten etkilenmeyen gölge kopyalar

Kaspersky Lab uzmanları, şifreleme algoritmalarındaki olası kusurları bulmak için fidye yazılımını ayrıntılı olarak analiz eder.

Kaspersky Lab'ın kurumsal müşterilerine aşağıdakileri yapmaları önerilir:

• tüm mekanizmaların önerildiği gibi etkinleştirildiğini kontrol edin; KSN ve Sistem Monitörü bileşenlerinin devre dışı bırakılmadığından emin olun (varsayılan olarak etkindirler);
• anti-virüs veritabanlarını derhal güncelleyin.

O kadarı yeterli olacaktır. Ancak ek önlemler olarak şunları tavsiye ediyoruz:

• Kaspersky Endpoint Security'de C: Windowsinfpub.dat ve C: Windowscscc.dat dosyalarının yürütülmesini engeller.
• Kaspersky Endpoint Security'nin Uygulama Başlatma Denetimi bileşeninde "Varsayılan olarak reddet" modunu yapılandırın ve etkinleştirin.

Kaspersky Lab ürünleri bu tehdidi şu şekilde tanımlar:

• Trojan-Ransom.Win32.Gen.ftl
• Trojan-Ransom.Win32.BadRabbit
• DangerousObject.Multi.Generic
• PDM: Trojan.Win32.Generic
• Intrusion.Win.CVE-2017-0147.sa.leak

http: // 1dnscontrol [.] com /
- install_flash_player.exe
- C: Windowsinfpub.dat
- C: Windowsdispci.exe

style = "font-family: Consolas, Monaco, monospace;">

Bu yılın Ekim ayının sonunda, kurumsal ve ev kullanıcılarının bilgisayarlarına aktif olarak saldıran yeni bir virüsün ortaya çıkması damgasını vurdu. Yeni virüs, kötü tavşan anlamına gelen Bad Rabbit adlı bir fidye yazılımıdır. Bu virüs, birkaç Rus medya kuruluşunun web sitelerine saldırdı. Daha sonra virüs, Ukraynalı işletmelerin bilgi ağlarında da bulundu. saldırıya uğradı bilgi ağları metro, çeşitli bakanlıklar, uluslararası havaalanları ve daha fazlası. Kısa bir süre sonra, faaliyeti Ukrayna ve Rusya'dan önemli ölçüde düşük olmasına rağmen, Almanya ve Türkiye'de benzer bir viral saldırı gözlemlendi.

Kötü amaçlı bir virüs, bilgisayara girdikten sonra dosyalarını şifreleyen özel bir eklentidir. Bilgiler şifrelendikten sonra saldırganlar, verilerinin şifresini çözdüğü için kullanıcılardan ödül almaya çalışır.

Virüsün yayılması

ESET antivirüs yazılımı laboratuvarından uzmanlar, virüs yayılma yolunun algoritmasını analiz etti ve bunun son zamanlarda Petya virüsü gibi yayılan değiştirilmiş bir virüs olduğu sonucuna vardı.

ESET laboratuvar uzmanları, kötü amaçlı eklentilerin dağıtımının 1dnscontrol.com kaynağından ve IP5.61.37.209 IP adresinden gerçekleştirildiğini hesapladı. Secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com dahil olmak üzere bu etki alanı ve IP ile ilişkili başka kaynaklar da vardır.

Uzmanlar, bu sitelerin sahiplerinin, örneğin spam postaları kullanarak sahte ilaçlar satmaya çalıştıkları birçok farklı kaynak kaydettiğini araştırdı. ESET uzmanları, ana siber saldırının, spam postalama ve kimlik avı kullanarak bu kaynakların yardımıyla gerçekleştirildiğini dışlamaz.

Bad Rabbit nasıl bulaşır?

Adli Bilişim Laboratuvarı uzmanları, virüsün kullanıcıların bilgisayarlarına nasıl bulaştığını araştırdı. Çoğu durumda Bad Rabbit fidye yazılımı virüsünün Adobe Flash güncellemesi olarak dağıtıldığı ortaya çıktı. Yani virüs, işletim sisteminin herhangi bir güvenlik açığından yararlanmadı, ancak kullanıcıların kendileri tarafından yüklendi, güncelleme yaptıklarını düşünerek bilmeden kurulumunu onaylayan kullanıcılar. Adobe eklentisi Flaş. Virüs girdiğinde yerel alan ağı, hafızadan girişleri ve şifreleri çaldı ve diğer bilgisayar sistemlerine yayıldı.

Bilgisayar korsanları parayı nasıl gasp eder?

Fidye yazılımı virüsü bilgisayara yüklendikten sonra saklanan bilgileri şifreler. Daha sonra kullanıcılar, verilerine erişmek için darknet'te belirtilen sitede ödeme yapmaları gerektiğini belirten bir mesaj alır. Bunu yapmak için önce özel bir Tor tarayıcısı yüklemeniz gerekir. Bilgisayarın kilidinin açılacağı gerçeği için siber suçlular 0,05 bitcoin tutarında zorla ödeme alıyor. Bugün itibariyle 5,600 dolarlık 1 Bitcoin fiyatında, bu bir bilgisayarın kilidini açmak için kabaca 280 dolar ediyor. Ödeme yapmak için kullanıcıya 48 saate eşit bir süre verilir. Bu süre sona erdikten sonra gerekli tutar saldırganın elektronik hesabına aktarılmazsa tutar artırılır.

Kendinizi virüsten nasıl korursunuz

1. Kendinizi Bad Rabbit virüsünün bulaşmasından korumak için, bilgi ortamından yukarıdaki etki alanlarına erişimi engellemelisiniz.
2. Ev kullanıcıları için mevcut olanı güncellemeniz gerekir. Windows sürümleri ve antivirüs yazılımı... Bu durumda, kötü amaçlı dosya, bilgisayara yüklenme olasılığını ortadan kaldıran bir fidye yazılımı virüsü olarak algılanacaktır.
3. İşletim sisteminin yerleşik antivirüsünü kullanan kullanıcılar Windows sistemleri zaten bu fidye yazılımlarına karşı korumaya sahipler. Uygulamada uygulanmaktadır Windows Defender Antivirüs.
4. Kaspersky Lab'in anti-virüs programının geliştiricileri, tüm kullanıcılara verilerini periyodik olarak yedeklemelerini tavsiye ediyor. Ek olarak, uzmanlar c: \ windows \ infpub.dat, c: \ WINDOWS \ cscc.dat dosyalarının yürütülmesini engellemenizi ve ayrıca mümkünse WMI hizmetinin kullanımını yasaklamanızı önerir.

Çözüm

Bilgisayar kullanıcılarının her biri, ağ üzerinde çalışırken siber güvenliğin önce gelmesi gerektiğini hatırlamalıdır. Bu nedenle, yalnızca kanıtlanmış bilgi kaynaklarının kullanımını her zaman izlemeniz ve dikkatli bir şekilde kullanmanız gerekir. e-posta ve sosyal ağlar... Çeşitli virüslerin en sık yayıldığı bu kaynaklardır. İlköğretim kuralları bilgi ortamındaki davranış, bir virüs saldırısı sırasında ortaya çıkan sorunları ortadan kaldıracaktır.

Kaspersky Lab'e göre, üçüncü fidye yazılımı virüs dalgasının habercisi olabilir. İlk ikisi sansasyonel WannaCry ve Petya'ydı (aka NotPetya). Siber güvenlik uzmanları, MIR 24'e yeni bir ağ kötü amaçlı yazılımının ortaya çıktığını ve güçlü saldırısına karşı nasıl savunulacağını anlattı.

Bad Rabbit saldırısının kurbanlarının çoğu Rusya'da. Kaspersky Lab'deki anti-virüs araştırma departmanı başkanı, Ukrayna, Türkiye ve Almanya topraklarında önemli ölçüde daha az sayıda bulunduğunu belirtti. Vyacheslav Zakorzhevsky... Muhtemelen en aktif ikinci ülkeler, kullanıcıların Rus İnternet kaynaklarını aktif olarak takip ettiği ülkelerdi.

Kötü amaçlı yazılım bir bilgisayara bulaştığında, içindeki dosyaları şifreler. Bunlar arasında ağırlıklı olarak federal Rus medyasının sitelerinin yanı sıra Kiev metrosunun bilgisayarları ve sunucuları, Ukrayna Altyapı Bakanlığı ve Odessa Uluslararası Havaalanı da dahil olmak üzere saldırıya uğramış İnternet kaynaklarından gelen web trafiği kullanılarak yayılıyor. İlk 20'den Rus bankalarına başarısız bir saldırı girişimi de kaydedildi.

Fontanka, Interfax ve bir dizi başka yayının Bad Rabbit tarafından saldırıya uğradığı, bilgi güvenliği konusunda uzmanlaşmış Group-IB tarafından dün açıklandı. Virüs kodunun analizi gösterdi ki Bad Rabbit, Haziran ayında ortaya çıkan Not Petya fidye yazılımıyla ilişkilendirildi. bu yıl Ukrayna'daki enerji, telekomünikasyon ve finans şirketlerine saldırdı.

Saldırı birkaç gündür hazırlanıyordu ve enfeksiyonun ölçeğine rağmen, fidye yazılımı saldırının kurbanlarından nispeten küçük miktarlar talep etti - 0,05 bitcoin (bu yaklaşık 283 dolar veya 15.700 ruble). Fidye 48 saat sürecek. Bu sürenin bitiminden sonra miktar artar.

Group-IB uzmanları, büyük olasılıkla bilgisayar korsanlarının para kazanma niyetinde olmadığına inanıyor. Muhtemel hedefleri, işletmelerin, devlet dairelerinin ve özel şirketlerin kritik altyapı ağlarının koruma düzeyini test etmektir.

Bir saldırının kurbanı olmak kolaydır

Bir kullanıcı virüslü bir siteyi ziyaret ettiğinde, kötü amaçlı kod bu siteyle ilgili bilgileri uzak bir sunucuya iletir. Ardından, güncellemeyi indirmenizi isteyen bir açılır pencere belirir. Flash player hangi sahte. Kullanıcı "Kur / Yükle" işlemini onayladıysa, bilgisayara bir dosya indirilecek ve bu da sistemde Win32 / Filecoder.D kodlayıcıyı başlatacaktır. Ayrıca, belgelere erişim engellenecek, ekranda bir fidye mesajı görünecektir.

Bad Rabbit virüsü, ağı açık ağ kaynakları için tarar, ardından virüslü makinede kimlik bilgilerini toplamak için bir araç başlatır ve bu "davranış" öncekilerden farklıdır.

Uluslararası bir anti-virüs yazılımı geliştiricisinin uzmanları Eset NOD 32, Bad Rabbit'in prensibi aynı olan Petya virüsünün yeni bir modifikasyonu olduğunu doğruladı - virüs bilgileri şifreledi ve bitcoin cinsinden bir fidye talep etti (tutar Bad Rabbit ile karşılaştırılabilir - 300 $). Yeni kötü amaçlı yazılım, dosya şifreleme hatalarını düzeltir. Virüste kullanılan kod, mantıksal sürücüleri, harici USB sürücüleri ve CD/DVD görüntülerini ve ayrıca önyüklenebilir sistem disk bölümlerini şifrelemek için tasarlanmıştır.

Seyirci hakkında konuşmak Kötü saldırılar Tavşan, Satış Destek Başkanı, ESET Rusya Vitaly ZemskikhŞirketin antivirüs ürünleri tarafından durdurulan saldırıların %65'inin Rusya'da gerçekleştiğini belirtti. Aksi takdirde, yeni virüsün coğrafyası şöyle görünür:

Ukrayna - %12.2

Bulgaristan - %10,2

Türkiye - %6,4

Japonya - %3,8

diğerleri - %2,4

“Fidye yazılımı iyi bilinen yazılım ile birlikte açık kaynak kurbanın disklerini şifrelemek için DiskCryptor denir. Kullanıcının gördüğü kilit mesajı ekranı Petya ve NotPetya kilit ekranları ile hemen hemen aynıdır. Ancak şu ana kadar iki kötü amaçlı yazılım arasında gözlemlediğimiz tek benzerlik bu. Diğer tüm yönleriyle, BadRabbit tamamen yeni ve benzersiz bir fidye yazılımı türüdür, "diyor Check Point Software Technologies CTO'su. Nikita Durov.

Kendinizi Bad Rabbit'ten nasıl korursunuz?

Sahipler işletim sistemleri Yeni fidye yazılımı virüsü yalnızca bu "eksene" sahip bilgisayarları savunmasız hale getirdiğinden, Windows olmayanlar rahat bir nefes alabilir.

Ağ kötü amaçlı yazılımlarına karşı korunmak için uzmanlar, bilgisayarınızda bir C: \ windows \ infpub.dat dosyası oluşturmanızı ve bunun için salt okunur hakları ayarlamanızı önerir - bunun yönetim bölümünde yapılması kolaydır. Böylece dosyanın yürütülmesini engellemiş olursunuz ve dışarıdan gelen tüm belgeler, virüs bulaşmış olsalar bile şifrelenmeyecektir. Virüs bulaşması durumunda değerli verilerinizi kaybetmemek için şimdi bir yedekleme (yedekleme) yapın. Ve elbette, fidyeyi ödemenin, bilgisayarınızın kilidini açmanızı garanti etmeyen bir tuzak olduğunu hatırlamakta fayda var.

Hatırlatacağız, virüs bu yıl mayıs ayında dünya genelinde en az 150 ülkeye yayıldı. Bilgileri şifreledi ve çeşitli kaynaklara göre 300 ila 600 dolar arasında bir fidye ödemesini istedi. 200 binden fazla kullanıcı bundan zarar gördü. Sürümlerden birine göre, yaratıcıları ABD NSA kötü amaçlı yazılımı Eternal Blue'yu temel aldı.

Alla Smirnova uzmanlarla konuştu