Bad Rabbit ransomware virus: nova prijetnja vašem računalu. Šta je virus Bad Rabbit i kako zaštititi svoj računar Mogućnost oporavka datoteka

Bad Rabbit je virus ransomware enkripcije. Pojavio se sasvim nedavno i namenjen je uglavnom računarima korisnika u Rusiji i Ukrajini, kao i delimično u Nemačkoj i Turskoj.

Princip rada ransomware virusa je uvijek isti: kada se jednom nađe na računaru, zlonamjerni program šifrira sistemske datoteke i korisničke podatke, blokirajući pristup računalu pomoću lozinke. Sve što se prikazuje na ekranu je prozor virusa, zahtjevi napadača i broj računa na koji on traži da prenese novac za otključavanje. Nakon masovne distribucije kriptovaluta, postalo je popularno tražiti otkupninu u bitcoinima, jer je transakcije s njima izuzetno teško pratiti izvana. Kao i Bad Rabbit. On iskorištava ranjivosti operativni sistem, posebno u Adobe Flash Player, i infiltrira se pod krinkom ažuriranja za njega.

Nakon što je zaražen, BadRabbit stvara a Windows folder datoteku infpub.dat, koja kreira ostale programske datoteke: cscc.dat i dispci.exe, koje unose vlastite promjene u MBR postavke diska korisnika i kreiraju vlastite zadatke kao što je Task Scheduler. Ovaj zlonamjerni softver ima svoju web stranicu za plaćanje otkupnine, koristi uslugu šifriranja DiskCryptor, šifrira korištenjem RSA-2048 i AE metoda i prati sve uređaje povezane s ovaj računar pokušavaju i njih zaraziti.

Prema Symantecu, virus je dobio status niske prijetnje, a prema riječima stručnjaka, kreirali su ga isti programeri kao i viruse otkrivene nekoliko mjeseci prije Bad Rabbita, NotPetya i Petya, jer ima slične algoritme. Bad Rabbit ransomware prvi put se pojavio u oktobru 2017. godine, a njegove prve žrtve bile su internetske novine Fontanka, brojni mediji i web stranica novinska agencija Interfax. Bilajn je takođe napadnut, ali je pretnja na vreme izbegnuta.

Napomena: na sreću, ovog trenutka programi za otkrivanje takvih prijetnji su već učinkovitiji nego prije, a rizik od infekcije ovim virusom je smanjen.

Uklanjanje virusa Bad Rabbit

Bootloader Recovery

Kao iu većini slučajeva ove vrste, da biste uklonili prijetnju, možete pokušati vratiti Windows bootloader. U slučaju Windows 10 i Windows 8, da biste to uradili, potrebno je da povežete instalacijsku distribuciju sistema na USB ili DVD, a nakon pokretanja sa njega idite na opciju "Popravi računar". Nakon toga, trebate otići na "Rješavanje problema" i odabrati " komandna linija».

Sada ostaje da unosite naredbe jednu po jednu, svaki put pritiskom na Enter nakon unosa sljedeće naredbe:

  1. bootrec /FixMbr
  2. bootrec /FixBoot
  3. bootrec /ScanOs
  4. bootrec /RebuildBcd

Nakon izvršenih operacija - izađite i restartujte. Najčešće je to dovoljno za rješavanje problema.
Za Windows 7, koraci su isti, samo se tamo "Command Prompt" nalazi u "Opcijama oporavak sistema» o distribuciji instalacije.

Uklanjanje virusa putem sigurnog načina rada

Morate biti u sigurnom načinu rada s umrežavanjem da biste koristili ovu metodu. Ima mrežnu podršku, a ne jednostavan Safe Mode. U operativnom sistemu Windows 10 to se može učiniti ponovo putem instalacijske distribucije. Nakon pokretanja sa njega, u prozoru sa dugmetom "Instaliraj", morate pritisnuti kombinaciju tastera Shift + F10 i uneti u polje:

bcdedit /set (podrazumevano) bezbedno pokretanje mreže

U operativnom sistemu Windows 7 možete jednostavno pritisnuti F8 nekoliko puta dok uključujete računar i izabrati ovaj režim pokretanja sa liste u meniju koji se pojavi.
Nakon ulaska u Safe Mode, glavni cilj je skeniranje operativnog sistema u potrazi za prijetnjama. Bolje je to učiniti pomoću vremenski testiranih uslužnih programa kao što su Reimage ili Malwarebytes Anti-Malware.

Uklonite prijetnju koristeći centar za oporavak

Za upotrebu ovu metodu potrebno je ponovo upotrijebiti “Command line” kao u gornjim uputama, a nakon pokretanja unesite cd recovery i potvrdite pritiskom na Enter. Nakon toga, potrebno je da unesete rstrui.exe. Otvorit će se prozor programa u kojem se možete vratiti na prethodnu tačku vraćanja prije infekcije.

24. oktobra ruski mediji, kao i transportne kompanije i vladine agencije Ukrajinu je napao ransomware Bad Rabbit („Bad Rabbit“). Prema otvorenim izvorima, među žrtvama su Kijevski metro, aerodrom Odesa, Ministarstvo infrastrukture Ukrajine, redakcije Interfaksa i Fontanke.

Prema laboratoriji za viruse ESET, zlonamjerni softver Diskcoder.D korišten je u napadu na kijevski metro - nova modifikacija skrembler poznat kao Petya.

Specijalisti u sigurnost informacija Grupa-IB je utvrdila da se napad pripremao nekoliko dana. ESET upozorava da ransomware prodire u računar putem lažnog ažuriranja Adobe Flash dodatka. Nakon toga inficira računar i šifrira datoteke na njemu. Tada se na monitoru pojavljuje poruka da je računar zaključan, a za dešifrovanje fajlova potrebno je da preko Tor pretraživača odete na sajt Bad Rabbit - caforssztxqzf2nm.onion.

Epidemije ransomwarea WannaCry i NotPetya pokazale su da je potrebno ažurirati na vrijeme instalirane programe i sistem, kao i napraviti rezervne kopije kako ne bi ostali bez važna informacija nakon napada virusa.

Međutim, ako je došlo do infekcije, stručnjaci Grupe-IB ne preporučuju plaćanje otkupnine, jer:

  • na taj način pomažete kriminalcima;
  • nemamo dokaza da su podaci onih koji su platili vraćeni.

Kako zaštititi svoj računar od infekcije Bad Rabbitom?

Kako ne biste postali žrtva nove epidemije Bad Rabbit-a, stručnjaci Kaspersky Lab-a preporučuju sljedeće:

Za korisnike Kaspersky antivirusnih rješenja:

  • Provjerite uključuje li vaše sigurnosno rješenje komponente kaspersky security Monitor mreže i aktivnosti (poznatiji kao System Watcher). Ako nije, obavezno ga uključite.

Za one koji ne koriste antivirusna rješenja Kaspersky Lab.

Pozdrav dragi posjetioci i gosti ovog bloga! Danas se u svijetu pojavio još jedan ransomware virus pod nazivom: loš zec» — « Zli zec". Ovo je već treći senzacionalni ransomware za 2017. Prethodni su bili (aka NotPetya).

Bad Rabbit - Ko je već patio i koliko je novca za to potrebno?

Do sada je nekoliko ruskih medija navodno patilo od ovog ransomwarea - među njima Interfax i Fontanka. Također o hakerskom napadu - vjerovatno u vezi sa istim Bad Rabbitom - javlja aerodrom Odesa.

Za dešifriranje datoteka napadači traže 0,05 bitcoina, što je po trenutnoj stopi otprilike ekvivalentno 283 dolara ili 15.700 rubalja.

Rezultati studije Kaspersky Lab pokazuju da se eksploatacije ne koriste u napadu. Bad Rabbit se širi kroz zaražene web stranice: korisnici preuzimaju lažni Adobe Flash instalater, ručno ga pokreću i na taj način inficiraju svoje računare.

Prema Kaspersky Lab-u, stručnjaci istražuju ovaj napad i traže načine da se nose s njim, kao i traže mogućnost dešifriranja datoteka zahvaćenih ransomwareom.

Većina žrtava napada nalazi se u Rusiji. Poznato je i da se slični napadi dešavaju u Ukrajini, Turskoj i Njemačkoj, ali u znatno manjem broju. Kriptograf loš zecširi se kroz niz zaraženih ruskih medijskih stranica.

Kapersky Lab vjeruje da svi znakovi upućuju na to da se radi o ciljanom napadu na korporativne mreže. Koriste se metode slične onima koje smo uočili u ExPetr napadu, ali ne možemo potvrditi vezu sa ExPetr-om.

Već je poznato da proizvodi Kaspersky Lab-a otkrivaju jednu od komponenti zlonamjernog softvera koristeći Kaspersky Security Network cloud servis kao UDS:DangerousObject.Multi.Generic, kao i koristeći System Watcher kao PDM:Trojan.Win32.Generic.

Kako se zaštititi od virusa Bad Rabbit?

Kako ne biste postali žrtva nove epidemije "Bad Bunny", " Kaspersky Lab» Preporučujemo da uradite sljedeće:

Ako imate instaliran Kaspersky Anti-Virus, tada:

  • Proverite da li su komponente Kaspersky Security Network i Activity Monitor (aka System Watcher) omogućene u vašem bezbednosnom rešenju. Ako nije, obavezno ga uključite.

Za one koji nemaju ovaj proizvod:

  • Blokirajte izvršavanje datoteke c:\windows\infpub.dat, C:\Windows\cscc.dat. Ovo se može uraditi putem .
  • Onemogućite (ako je moguće) upotrebu WMI usluge.

Još jedan veoma važan savjet od mene:

Uvek radi backup (rezervna kopija - rezervna kopija ) datoteke koje su vam važne. On prenosivi medij, V usluge u oblaku! To će vam uštedjeti živce, novac i vrijeme!

Želim vam da ne uhvatite ovu infekciju na svom računaru. Čist i siguran internet za vas!

Još u kasnim 80-im, virus AIDS-a ("PC Cyborg") koji je napisao Joseph Popp skrivao je direktorije i šifrirane datoteke, zahtijevajući oko 200 dolara za "obnavljanje licence". U početku je ransomware ciljao samo obične ljude koji koriste računare ispod Windows kontrola, ali sada je sama prijetnja postala ozbiljan problem za poslovanje: pojavljuje se sve više programa, postaju jeftiniji i pristupačniji. Iznuda korištenjem zlonamjernog softvera glavna je sajber prijetnja u 2/3 zemalja EU. Jedan od najrasprostranjenijih ransomware virusa, CryptoLocker, zarazio je više od četvrt miliona računara u EU od septembra 2013.

U 2016. broj ransomware napada dramatično se povećao, više od 100 puta više nego prethodne godine, prema analitičarima. Ovo je rastući trend i, kao što smo vidjeli, na udaru su potpuno različite kompanije i organizacije. Prijetnja je relevantna i za neprofitne organizacije. Pošto za svaki veći napad malware nadograđeni i testirani od strane napadača za "prolazak". antivirusna zaštita, antivirusi su po pravilu nemoćni protiv njih.

Služba sigurnosti Ukrajine je 12. oktobra upozorila na vjerovatnoću novih velikih sajber napada na vladine agencije i privatne kompanije, slično junskoj epidemiji virusa šifriranja. Ne Petya. Prema ukrajinskoj obavještajnoj službi, "napad se može izvesti korištenjem ažuriranja, uključujući javno dostupan aplikativni softver". Podsjetimo to u slučaju napada ne Petya, koje su istraživači povezivali sa grupom BlackEnergy, prve žrtve su bile kompanije koje su koristile softver Ukrajinski programer sistema za upravljanje dokumentima "M.E.Doc".

Zatim, u prva 2 sata, napadnute su energetske, telekomunikacijske i finansijske kompanije: Zaporozhyeoblenergo, Dneproenergo, Dnipro Electric Power System, Mondelez International, Oschadbank, Mars, " Nova pošta“, Nivea, TESA, Kijevski metro, kompjuteri Kabineta ministara i Vlade Ukrajine, prodavnice Auchan, ukrajinski operateri („Kyivstar“, LifeCell, „UkrTeleCom“), Privatbank, aerodrom Borispil.

Nešto ranije, u maju 2017. godine, virus WannaCry ransomware napao je 200.000 računara u 150 zemalja širom svijeta. Virus je prošao kroz mreže univerziteta u Kini, fabrika Renaulta u Francuskoj i Nissana u Japanu, telekomunikacione kompanije Telefonica u Španiji i željezničkog operatera Deutsche Bahn u Njemačkoj. Zbog blokiranih računara u klinikama u Velikoj Britaniji, operacije su morale biti odgođene, a regionalna odeljenja ruskog Ministarstva unutrašnjih poslova nisu mogla da izdaju vozačke dozvole. Istraživači su rekli da iza napada stoje sjevernokorejski hakeri iz Lazarusa.

2017. virusi za šifriranje dostigli su novi nivo: korištenje alata iz arsenala američkih obavještajnih agencija i novih mehanizama distribucije od strane sajber kriminalaca doveli su do međunarodnih epidemija, od kojih su najveće bile WannaCry i NotPetya. Uprkos razmjerima zaraze, sam ransomware je prikupio relativno beznačajne iznose - najvjerovatnije to nisu bili pokušaji zarade, već provjere nivoa zaštite mreža kritične infrastrukture preduzeća, vladinih odjela i privatnih kompanija.

Kraj oktobra ove godine obilježila je pojava novog virusa koji je aktivno napadao računare korporativnih i kućnih korisnika. Novi virus je šifra i zove se Bad Rabbit, što znači loš zec. Ovaj virus je napao nekoliko web stranica ruski fondovi masovni medij. Kasnije je virus pronađen i u informacionim mrežama ukrajinskih preduzeća. Tamo su napadnute informacione mreže metroa, raznih ministarstava, međunarodnih aerodroma i tako dalje. Nešto kasnije, sličan napad virusa primijećen je u Njemačkoj i Turskoj, iako je njegova aktivnost bila znatno niža nego u Ukrajini i Rusiji.

Zlonamjerni virus je poseban dodatak koji, nakon što uđe u računar, šifrira njegove datoteke. Nakon što su informacije šifrirane, napadači pokušavaju dobiti nagrade od korisnika za dešifriranje njihovih podataka.

Širenje virusa

Stručnjaci iz laboratorije za razvoj antivirusnih programa ESET analizirali su algoritam putanje širenja virusa i došli do zaključka da je riječ o modificiranom virusu koji se širio poput Petya virusa ne tako davno.

ESET-ovi laboratorijski stručnjaci su izračunali da su zlonamjerni dodaci distribuirani sa resursa 1dnscontrol.com i IP adrese IP5.61.37.209. Još nekoliko resursa je također povezano sa ovom domenom i IP-om, uključujući secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.

Stručnjaci su istražili da su vlasnici ovih stranica registrovali mnoge različite resurse, na primjer, one preko kojih uz pomoć neželjene pošte pokušavaju prodati krivotvorene lijekove. Stručnjaci ESET-a ne isključuju da je upravo uz pomoć ovih resursa, uz korištenje neželjene pošte i phishinga, izvršen glavni sajber napad.

Kako se virus Bad Rabbit inficira?

Stručnjaci laboratorije za kompjutersku forenziku istraživali su kako je virus dospio na računare korisnika. Utvrđeno je da se u većini slučajeva virus Bad Rabbit ransomware distribuirao kao ažuriranje za Adobe Flash. Odnosno, virus nije koristio nikakve ranjivosti operativnog sistema, već su ga instalirali sami korisnici, koji su, ne znajući za to, odobrili njegovu instalaciju, misleći da ažuriraju Adobe Flash dodatak. Kada je virus ušao lokalna mreža, ukrao je login i lozinke iz memorije i samostalno proširio na druge računarske sisteme.

Kako hakeri iznuđuju novac

Nakon što je ransomware virus instaliran na računar, on šifrira pohranjene informacije. Zatim, korisnici dobijaju poruku u kojoj se navodi da za pristup svojim podacima moraju izvršiti uplatu na navedenoj mračnoj web stranici. Da biste to učinili, prvo morate instalirati poseban Tor pretraživač. Za to što će računar biti otključan, napadači iznuđuju plaćanje u iznosu od 0,05 bitcoina. Danas, po cijeni od 5600 USD za 1 Bitcoin, ovo je otprilike 280 USD za otključavanje računara. Da bi izvršio plaćanje, korisniku se daje vremenski period od 48 sati. Nakon ovog perioda, ako traženi iznos nije prebačen na elektronski račun napadača, iznos se povećava.

Kako se zaštititi od virusa

  1. Da biste se zaštitili od zaraze virusom Bad Rabbit, trebali biste blokirati pristup iz informacionog okruženja gore navedenim domenima.
  2. Za kućne korisnike, morate ažurirati trenutni Windows verzije i antivirusni program. U tom slučaju, zlonamjerna datoteka će biti otkrivena kao ransomware virus, što će isključiti mogućnost njegove instalacije na računar.
  3. Oni korisnici koji koriste ugrađeni antivirusni operativni sistem Windows sistemi već imaju zaštitu od ovih ransomware-a. Implementira se u Windows aplikacija Defender Antivirus.
  4. Programeri antivirusnog programa iz Kaspersky Lab-a savjetuju svim korisnicima da povremeno prave rezervne kopije svojih podataka. Osim toga, stručnjaci preporučuju blokiranje izvršavanja datoteka c:\windows\infpub.dat, c:\WINDOWS\cscc.dat i, ako je moguće, onemogućite korištenje WMI usluge.

Zaključak

Svaki korisnik računara treba da zapamti da sajber bezbednost treba da bude na prvom mestu kada radi na mreži. Stoga je uvijek potrebno osigurati da je samo dokazano informacionih resursa i pažljivo koristiti email I društvenim medijima. Preko ovih resursa najčešće se vrši širenje raznih virusa. Elementarna pravila ponašanja u informacionom okruženju će eliminisati probleme koji nastaju tokom napada virusa.



Učitavanje...
Top