Cum să te protejezi de noul virus ransomware Bad Rabbit. Ransomware-ul Bad Rabbit atacă utilizatorii din Rusia și Ucraina Cum hackerii stoarc bani

Virus ransomware Iepure rău, pe care presa rusă a fost atacată cu o zi înainte, a încercat să atace băncile rusești din primele 20, a declarat pentru Forbes Group-IB, care investighează și previne infracțiunile cibernetice. Un reprezentant al companiei a refuzat să clarifice detalii despre atacurile asupra instituțiilor de credit, explicând că Group-IB nu dezvăluie informații despre clienții care folosesc sistemul său de detectare a intruziunilor.

Potrivit experților în securitate cibernetică, încercările de a infecta infrastructurile băncilor rusești cu un virus au avut loc pe 24 octombrie, între orele 13:00 și 15:00, ora Moscovei. Group-IB consideră că atacurile cibernetice au demonstrat o protecție mai bună pentru bănci în comparație cu companiile din sectorul nebancar. Anterior, compania a raportat că un nou virus ransomware, probabil legat de epidemia din iunie a ransomware-ului NotPetya (acest lucru este indicat de coincidențele din cod), a atacat mass-media rusă. A fost despre sisteme de informare Agenția Interfax, precum și serverele portalului de știri Fontanka din Sankt Petersburg. În plus, virusul a lovit sistemele metroului Kiev, Ministerul Infrastructurii al Ucrainei și Aeroportul Internațional Odesa. NotPetya a lovit companiile de energie, telecomunicații și financiare în principal în Ucraina în timpul verii. Pentru decriptarea fișierelor infectate cu virusul BadRabbit, atacatorii cer 0,05 bitcoin, care la cursul de schimb actual este aproximativ echivalent cu 283 USD sau 15.700 de ruble.

Kaspersky Lab a clarificat că de data aceasta hackerii au ales majoritatea victimelor din Rusia. Cu toate acestea, compania a înregistrat atacuri similare în Ucraina, Turcia și Germania, dar „în număr semnificativ mai mic”. „Toate semnele indică faptul că acesta este un atac țintit asupra rețelelor corporative. Sunt folosite metode similare cu cele pe care le-am observat în atacul ExPetr, dar nu putem confirma legătura cu ExPetr”, a spus un reprezentant al companiei. Sursa Forbes a adăugat că toate produsele Kaspersky Lab „detectă aceste fișiere rău intenționate ca UDS:DangerousObject.Multi.Generic”.

Cum să te protejezi?

Pentru a se proteja împotriva acestui atac, Kaspersky Lab a recomandat utilizarea unui antivirus cu KSN activat și modulul de monitorizare a sistemului. „Dacă nu este instalată o soluție de securitate Kaspersky Lab, vă recomandăm să blocați execuția fișierelor denumite c:\windows\infpub.dat și C:\Windows\cscc.dat folosind instrumente de administrare a sistemului”, a spus șeful anti-virusului. departamentul de cercetare la Laboratorul Kaspersky" Vyacheslav Zakorzhevsky.

Group-IB notează că, pentru a preveni criptarea fișierelor de către virus, „trebuie să creați fișierul C:\windows\infpub.dat și să îi acordați drepturi de numai citire”. După aceasta, chiar dacă sunt infectate, fișierele nu vor fi criptate, a spus compania. În același timp, este necesar să izolați rapid computerele care au fost detectate trimițând astfel de fișiere rău intenționate pentru a evita infectarea pe scară largă a altor computere conectate la rețea. După aceasta, utilizatorii trebuie să se asigure că copiile de rezervă ale nodurilor cheie ale rețelei sunt actualizate și intacte.

Când pașii inițiali sunt finalizați, utilizatorul este sfătuit să actualizeze sistemele de operare și sistemele de securitate, blocând în același timp adresele IP și nume de domenii, din care au fost distribuite fișiere rău intenționate. Group-IB recomandă schimbarea tuturor parolelor cu altele mai complexe și blocarea ferestrelor pop-up, precum și interzicerea stocării parolelor în text clar în LSA Dump.

Cine se află în spatele atacului BadRabbit

În 2017, au fost deja înregistrate două epidemii majore de ransomware - WannaCry (a atacat 200.000 de computere în 150 de țări) și ExPetr. Acesta din urmă este Petya și, în același timp, NotPetya, notează Kaspersky Lab. Acum, potrivit companiei, „a treia începe”. Numele noului virus ransomware Bad Rabbit „este scris pe o pagină de pe darknet, la care creatorii săi trimit pentru clarificarea detaliilor”, clarifică compania. Group-IB consideră că Bad Rabbit este o versiune modificată a NotPetya cu erorile din algoritmul de criptare corectate. În special, codul Bad Rabbit include blocuri care sunt complet identice cu NotPetya.

ESET Rusia este de acord că malware-ul utilizat în atac, „Win32/Diskcoder.D”, este o versiune modificată a „Win32/Diskcoder.C”, mai cunoscut sub numele de Petya/NotPetya. După cum Vitaly Zemskikh, șeful de asistență pentru vânzări la ESET Rusia, a explicat într-o conversație cu Forbes, statisticile atacurilor pe țară „corespund în mare măsură distribuției geografice a site-urilor care conțin JavaScript rău intenționat”. Astfel, majoritatea infecțiilor au avut loc în Rusia (65%), urmată de Ucraina (12,2%), Bulgaria (10,2%), Turcia (6,4%) și Japonia (3,8%).

Infecția cu virusul Bad Rabbit a avut loc după vizitarea site-urilor piratate. Hackerii au încărcat resursele compromise cu o injecție JavaScript în codul HTML, care a arătat vizitatorilor o fereastră falsă care le-a cerut să instaleze o actualizare Adobe. Flash Player. Dacă utilizatorul a fost de acord cu actualizarea, pe computer a fost instalat un fișier rău intenționat numit „install_flash_player.exe”. „Infectează stație de lucruîn cadrul unei organizații, criptatorul poate fi distribuit în rețeaua corporativă prin protocolul SMB. Spre deosebire de predecesorul său Petya/NotPetya, Bad Rabbit nu folosește exploit-ul EthernalBlue - în schimb scanează rețeaua pentru deschidere. resursele rețelei", spune Zemskikh. Apoi, instrumentul Mimikatz este lansat pe mașina infectată pentru a colecta acreditările. În plus, există o listă codificată de date de conectare și parole.

Nu există încă informații despre cine a organizat atacurile hackerilor. În același timp, conform Grupului-IB, atacuri similare în masă WannaCry și NotPetya ar putea fi asociate cu grupuri de hackeri, finanțat de state. Experții trag această concluzie pe baza faptului că beneficiile financiare ale unor astfel de atacuri sunt „neglijabile” în comparație cu complexitatea implementării lor. „Cel mai probabil, acestea nu au fost încercări de a câștiga bani, ci de a testa nivelul de protecție a rețelelor de infrastructură critică ale întreprinderilor, agențiilor guvernamentale și companiilor private”, concluzionează experții. Un reprezentant al Group-IB a confirmat pentru Forbes că cel mai recent virus - Bad Rabbit - se poate dovedi a fi un test de protecție a infrastructurilor departamentelor guvernamentale și întreprinderilor. „Da, nu este exclus. Având în vedere că atacurile au fost efectuate în mod țintit - asupra infrastructurii critice - aeroport, metrou, agenții guvernamentale”, explică interlocutorul Forbes.

Răspunzând la întrebarea despre cei responsabili pentru cel mai recent atac, ESET Rusia subliniază că folosind doar instrumentele unei companii antivirus, este imposibil să se efectueze o investigație de înaltă calitate și să se identifice pe cei implicați, aceasta este sarcina specialiștilor de alt profil; „Ca o companie de antivirus, identificăm metode și ținte ale atacurilor, instrumente rău intenționate ale atacatorilor, vulnerabilități și exploatări. Găsirea vinovaților, motivele acestora, naționalitatea etc. nu este responsabilitatea noastră”, a spus un reprezentant al companiei, promițând că va trage concluzii despre numirea lui Bad Rabbit pe baza rezultatelor anchetei. „Din păcate, în viitorul apropiat vom vedea multe incidente similare - vectorul și scenariul acestui atac au dovedit o eficiență ridicată”, prezice ESET Rusia. Interlocutorul Forbes amintește că pentru 2017 compania a prezis o creștere a numărului de atacuri direcționate asupra sectorului corporativ, în primul rând asupra organizațiilor financiare (cu peste 50%, conform estimărilor preliminare). „Aceste predicții devin acum realitate, vedem o creștere a numărului de atacuri combinată cu o creștere a pagubelor aduse companiilor afectate”, admite el.

Salutare tuturor! Chiar zilele trecute, un atac pe scară largă a hackerilor a început în Rusia și Ucraina, Turcia, Germania și Bulgaria, folosind noul virus de criptare Bad Rabbit, cunoscut și sub numele de Diskcoder.D. Encryptor activat acest moment atacă rețelele corporative ale organizațiilor mari și mijlocii, blocând toate rețelele. Astăzi vă vom spune ce este acest troian și cum vă puteți proteja de el.

Ce fel de virus?

Bad Rabbit funcționează după o schemă standard pentru ransomware: odată ce intră în sistem, codifică fișiere, pentru decriptare hackerii cer 0,05 bitcoin, care la cursul de schimb este de 283 USD (sau 15.700 de ruble). Acest lucru este raportat într-o fereastră separată, unde trebuie de fapt să introduceți cheia achiziționată. Amenințarea este un tip de troian Trojan.Win32.Generic, cu toate acestea conține și alte componente, cum ar fi DangerousObject.Multi.GenericȘi Răscumpărare.Câștig 32.Gen.ftl.

Bad Rabbit – un nou virus ransomware

Este încă dificil să urmăriți complet toate sursele de infecție, dar experții lucrează acum la acest lucru. Probabil, amenințarea ajunge la PC prin site-uri infectate pe care este configurată redirecționarea sau sub masca unor actualizări false pentru plugin-uri populare precum Adobe Flash. Lista unor astfel de site-uri este doar în extindere.

Este posibil să eliminați un virus și cum să vă protejați?

Merită să spunem imediat că în acest moment totul laboratoare antivirus Am început să analizăm acest troian. Dacă căutați în mod special informații despre eliminarea virușilor, atunci nu există niciunul ca atare. Să renunțăm imediat la sfatul standard - faceți o copie de rezervă a sistemului, un punct de întoarcere, ștergeți astfel de fișiere. Dacă nu aveți salvări, atunci orice altceva nu funcționează, din cauza specificațiilor virusului, s-au gândit la astfel de momente.

Cred că în curând vor fi distribuite decriptoare pentru Bad Rabbit făcute de amatori - dacă utilizați sau nu aceste programe este alegerea dvs. După cum a arătat ultimul Ransomware Petya, asta nu ajuta pe nimeni.

Dar puteți preveni amenințarea și o puteți elimina atunci când încercați să intrați în computer. Laboratoarele Kaspersky și ESET au fost primele care au răspuns la rapoartele unei epidemii virale și blochează deja încercările de penetrare. Browser Google De asemenea, Chrome a început să detecteze resursele infectate și să avertizeze despre pericolul acestora. Iată ce trebuie să faceți pentru a vă proteja mai întâi de BadRabbit:

  1. Dacă utilizați Kaspersky, ESET, Dr.Web sau alți analogi populari pentru protecție, atunci trebuie să actualizați bazele de date. De asemenea, pentru Kaspersky trebuie să activați „Monitor de activitate” (System Watcher), iar în ESET să aplicați semnături cu actualizarea 16295.

  2. Dacă nu utilizați antivirusuri, atunci trebuie să blocați execuția fișierului C:\Windows\infpub.datȘi C:\Windows\cscc.dat. Acest lucru se face prin intermediul editorului politici de grup, sau programul AppLocker pentru Windows.

    3. Este recomandabil să dezactivați execuția serviciului - Windows Management Instrumentation (WMI). În top zece serviciul este numit „Unelte Gestionare Windows. Prin butonul corect accesați proprietățile serviciului și selectați „Tipul de pornire” modul "Dezactivat".

  3. Asigurați-vă că faceți copie de rezervă sistemul dumneavoastră. În teorie, o copie ar trebui să fie întotdeauna stocată pe suportul media conectat. Iată o scurtă instrucțiune video despre cum să-l creați.

    4. Concluzie

    În concluzie, merită spus cel mai important lucru - nu ar trebui să plătiți răscumpărarea, indiferent de ce ați criptat. Astfel de acțiuni nu fac decât să încurajeze escrocii să creeze noi atacuri de viruși. Monitorizați forumurile companiilor de antivirus, care, sper, vor studia în curând virusul Bad Rabbit și vor găsi o pastilă eficientă. Asigurați-vă că urmați pașii de mai sus pentru a vă proteja sistemul de operare. Dacă aveți dificultăți în completarea acestora, vă rugăm să scrieți în comentarii.

Actualizare 27.10.2017. Evaluarea capacității de decriptare. Posibilitate de recuperare a fișierelor. Verdictele.

Ce s-a întâmplat?

Marți, 24 octombrie, am primit notificări de atacuri masive folosind ransomware-ul Bad Rabbit. Au fost afectați organizațiile și utilizatorii individuali - în principal în Rusia, dar au existat și rapoarte de victime din Ucraina. Acesta este mesajul pe care îl văd victimele:

Ce este Iepure Rău?

Bad Rabbit aparține unei familii de ransomware necunoscute anterior.

Cum se distribuie?

Malware-ul este răspândit printr-un atac drive-by: victima vizitează un site web legitim și . Criminalii nu au folosit , așa că pentru a se infecta, utilizatorul a trebuit să ruleze manual un fișier deghizat ca un program de instalare Adobe Flash. Cu toate acestea, analiza noastră confirmă că Bad Rabbit a folosit exploit-ul EternalRomance pentru a se răspândi în rețelele corporative. Aceeași exploatare a fost folosită de ransomware-ul ExPetr.

Am descoperit o serie de resurse piratate - toate reprezintă portaluri de știriși site-uri media.

Cine este vizat atacul?

Majoritatea victimelor sunt în Rusia. Atacuri similare, dar mai puțin masive, au afectat alte țări - Ucraina, Turcia și Germania. Numărul total de ținte, conform statisticilor KSN, ajunge la 200.

Când a descoperit Kaspersky Lab amenințarea?

Am putut urmări vectorul original al atacului chiar de la început, în dimineața zilei de 24 octombrie. Faza activă a durat până la prânz, deși atacurile individuale au fost înregistrate până la ora 19.55, ora Moscovei. Serverul de pe care a fost distribuit picuratorul Bad Rabbit a fost închis în acea seară.

Cum este Bad Rabbit diferit de ransomware-ul ExPetr? Sau este același malware?

Conform observațiilor noastre, acum vorbim despre un atac țintit asupra rețelelor corporative, metodele sale sunt similare cu cele folosite în timpul. Mai mult, analiza codului Bad Rabbit a demonstrat similitudinea sa marcată cu codul ExPetr.

Detalii tehnice

Conform datelor noastre, ransomware-ul se va răspândi printr-un atac drive-by. Dropper-ul ransomware este descărcat de pe hxxp://1dnscontrol[.]com/flash_install.php.

Victimele sunt redirecționate către această resursă rău intenționată de pe site-uri de știri legitime.

Victima trebuie să ruleze manual fișierul install_flash_player.exe descărcat. Pentru a funcționa corect, fișierul necesită drepturi de administrator, pe care le solicită printr-o notificare UAC standard. Când este lansat, programul malware salvează DLL rău intenționat ca C:Windowsinfpub.dat și îl rulează prin rundll32.

Pseudocod al procedurii de instalare DLL rău intenționată

Aparent, biblioteca infpub.dat impune acreditările NTLM pe mașinile Windows cu adrese IP pseudo-aleatoare.

Lista codificată de acreditări

Biblioteca infpub.dat instalează și un fișier executabil rău intenționat dispci.exe V C: Windowsși creează o sarcină pentru a o rula.

Pseudocod al procedurii care creează sarcina de a lansa un fișier executabil rău intenționat

Mai mult, infpub.dat acționează ca un ransomware tipic: găsește datele victimei folosind o listă încorporată de extensii și criptează fișierele cu o cheie RSA publică de 2048 de biți deținută de atacatori.

Cheia publică a atacatorilor și lista de extensii

Parametrii cheii publice:

Cheie publică: (2048 biți)
Modul:
00:e5:c9:43:b9:51:6b:e6:c4:31:67:e7:de:42:55:
6f:65:c1:0a:d2:4e:2e:09:21:79:4a:43:a4:17:d0:
37:b5:1e:8e:ff:10:2d:f3:df:cf:56:1a:30:be:ed:
93:7c:14:d1:b2:70:6c:f3:78:5c:14:7f:21:8c:6d:
95:e4:5e:43:c5:71:68:4b:1a:53:a9:5b:11:e2:53:
a6:e4:a0:76:4b:c6:a9:e1:38:a7:1b:f1:8d:fd:25:
4d:04:5c:25:96:94:61:57:fb:d1:58:d9:8a:80:a2:
1d:44:eb:e4:1f:1c:80:2e:e2:72:52:e0:99:94:8a:
1a:27:9b:41:d1:89:00:4c:41:c4:c9:1b:0b:72:7b:
59:62:c7:70:1f:53:fe:36:65:e2:36:0d:8c:1f:99:
59:f5:b1:0e:93:b6:13:31:fc:15:28:da:ad:1d:a5:
f4:2c:93:b2:02:4c:78:35:1d:03:3c:e1:4b:0d:03:
8d:5b:d3:8e:85:94:a4:47:1d:d5:ec:f0:b7:43:6f:
47:1e:1c:a2:29:50:8f:26:c3:96:d6:5d:66:36:dc:
0b:ec:a5:fe:ee:47:cd:7b:40:9e:7c:1c:84:59:f4:
81:b7:5b:5b:92:f8:dd:78:fd:b1:06:73:e3:6f:71:
84:d4:60:3f:a0:67:06:8e:b5:dc:eb:05:7c:58:ab:
1f:61
Exponent: 65537 (0x10001)

style="font-family: Consolas,Monaco,monospace;">

Fișierul executabil dispci.exe pare să se bazeze pe codul din utilitarul legitim DiskCryptor. Acesta acționează ca un modul de criptare a discului și instalează un încărcător de pornire modificat în paralel, blocând procesul normal de pornire a sistemului infectat.

În timpul analizei mostrelor acestei amenințări, am remarcat un detaliu interesant: aparent, autorii malware sunt fani ai Game of Thrones. Unele linii din cod reprezintă numele personajelor din acest univers.

Nume de dragoni din Game of Thrones

Numele personajelor din Game of Thrones

Schema de criptare

După cum am menționat deja, Bad Rabbit ransomware criptează fișierele și HDD victime. Următorii algoritmi sunt utilizați pentru fișiere:

  1. AES-128-CBC
  2. RSA-2048

Aceasta este o schemă tipică folosită de ransomware.

Interesant este că ransomware-ul listează totul rularea proceselorși compară hash-ul în numele fiecărui proces cu lista de hash-uri pe care o are. Algoritmul de hashing utilizat este similar cu cel folosit de malware-ul exPetr.

Comparație între procedurile de hashing Bad Rabbit și ExPetr

Ramă specială a execuției programului

Procedura de inițializare a semnalizatorului Runtime

Lista completă a hashurilor de la numele proceselor:

Hash Numele procesului
0x4A241C3E dwwatcher.exe
0x923CA517 McTray.exe
0x966D0415 dwarkdaemon.exe
0xAA331620 dwservice.exe
0xC8F10976 mfevtps.exe
0xE2517A14 dwengine.exe
0xE5A05A00 mcshield.exe

Partițiile de pe hard diskul victimei sunt criptate folosind driverul dcrypt.sys al DiskCryptor (este încărcat în C:Windowscscc.dat). Criptorul trimite codurile IOCTL necesare acestui driver. Unele funcții sunt preluate „ca atare” din sursa DiskCryptor (drv_ioctl.c), în timp ce altele par să fi fost adăugate de dezvoltatorii malware-ului.

Partițiile de disc sunt criptate de driverul DiskCryptor folosind AES în modul XTS. Parola este generată de dispci.exe folosind funcția WinAPI CryptGenRandom și are 32 de caractere.

Evaluarea capacității de decriptare

Datele noastre sugerează că Bad rabbit, spre deosebire de ExPetr, nu a fost creat ca o viperă (am scris mai devreme că creatorii ExPetr nu pot decripta MFT criptat folosind GoldenEye). Algoritmul malware-ului presupune că atacatorii din spatele Bad rabbit au instrumentele de decriptare necesare.

Datele care apar pe ecranul mașinii infectate ca „cheie personală de instalare#1” sunt o structură binară criptată RSA-2048 și codificată în baza64, care conține următoarele informații din sistemul infectat:

Atacatorii își pot folosi cheia privată RSA pentru a decripta această structură și a trimite victimei parola de decriptare a discului.

Vă rugăm să rețineți că valoarea câmpului ID care este transmis către dispci.exe este pur și simplu un număr de 32 de biți folosit pentru a distinge computerele infectate și nu cheia AES pentru criptarea discului, așa cum au spus unele rapoarte publicate pe Internet.

În timpul procesului de analiză, am extras parola creată de malware în curs de depanare și am încercat să o folosim pe un sistem blocat după repornire - parola s-a potrivit și descărcarea a continuat.

Din păcate, este imposibil să decriptați datele de pe discuri fără cheia RSA-2048 a atacatorului: cheile simetrice sunt generate în siguranță pe partea rău intenționată, ceea ce, în practică, elimină posibilitatea selectării lor.

Totuși, am descoperit o eroare în codul dispci.exe: parola generată nu este eliminată din memorie, ceea ce oferă puține șanse de a o recupera înainte ca procesul dispci.exe să se încheie. În captura de ecran de mai jos, veți observa că, în timp ce variabila dc_pass (care va fi transmisă driverului) va fi ștearsă în siguranță după utilizare, acesta nu este cazul variabilei rand_str, care conține o copie a parolei.

Pseudocod pentru o procedură care generează o parolă și criptează partițiile de disc

Criptarea fișierelor

După cum am scris deja, troianul folosește o schemă tipică de criptare a fișierelor. Acesta generează un șir aleator de 32 de octeți lungime și îl folosește în algoritmul de derivare a cheii. Din păcate, funcția CryptGenRandom este folosită pentru a crea acest șir.

Algoritm de derivare a cheilor

Parola criptată, împreună cu informațiile despre sistemul infectat, sunt scrise în fișierul Readme ca „cheie personală de instalare#2”.

Fapt interesant: malware-ul nu criptează fișierele cu atributul Read-Only.

Abilitatea de a recupera fișiere

Am descoperit că Bad Rabbit nu șterge copii umbră fișierele după ce sunt criptate. Aceasta înseamnă că dacă serviciul copiere umbră a fost activat înainte de infectare și criptarea completă a discului nu a avut loc dintr-un motiv oarecare, victima poate recupera fișierele criptate folosind mijloace standard Utilitare Windows sau terțe părți.

Copii umbră neafectate de Bad Rabbit

Experții Kaspersky Lab analizează ransomware-ul în detaliu pentru a găsi posibile defecte în algoritmii săi criptografici.

Clienților corporativi Kaspersky Lab li se recomandă:

  • verificați dacă toate mecanismele sunt pornite conform recomandărilor; Separat, asigurați-vă că componentele KSN și „Monitorizare sistem” nu sunt dezactivate (sunt active implicit);
  • actualizați prompt bazele de date antivirus.

Acest lucru ar trebui să fie suficient. Dar, ca măsuri de precauție suplimentare, vă recomandăm:

  • interziceți executarea fișierelor C:Windowsinfpub.dat și C:Windowscscc.dat în Kaspersky Endpoint Security.
  • configurați și activați modul „Default Deny” în componenta „Application Launch Control” din Kaspersky Endpoint Security.

Produsele Kaspersky Lab definesc această amenințare ca:

  • Trojan-Ransom.Win32.Gen.ftl
  • Trojan-Ransom.Win32.BadRabbit
  • DangerousObject.Multi.Generic
  • PDM:Trojan.Win32.Generic
  • Intrusion.Win.CVE-2017-0147.sa.leak
IoC:

http://1dnscontrol[.]com/
- install_flash_player.exe
- C:Windowsinfpub.dat
- C:Windowsdispci.exe

style="font-family: Consolas,Monaco,monospace;">

Sfârșitul lunii octombrie a acestui an a fost marcat de apariția unui nou virus care a atacat în mod activ computerele utilizatorilor corporativi și casnici. Noul virus este un criptator și se numește Bad Rabbit, ceea ce înseamnă iepure rău. Acest virus a fost folosit pentru a ataca site-urile mai multor fonduri rusești mass media. Ulterior, virusul a fost descoperit în rețelele de informații ale întreprinderilor ucrainene. Acolo au fost atacate rețelele de informare ale metroului, diverse ministere, aeroporturi internaționale etc. Puțin mai târziu, un atac similar de virus a fost observat în Germania și Turcia, deși activitatea sa a fost semnificativ mai mică decât în ​​Ucraina și Rusia.

Un virus rău intenționat este un plugin special care, odată ce ajunge la un computer, își criptează fișierele. După ce informațiile au fost criptate, atacatorii încearcă să obțină recompense de la utilizatori pentru decriptarea datelor lor.

Răspândirea virusului

Specialiștii din laboratorul programului antivirus ESET au analizat algoritmul căii de răspândire a virusului și au ajuns la concluzia că este un virus modificat care se răspândea nu cu mult timp în urmă, precum virusul Petya.

Specialiștii din laboratorul ESET au stabilit că pluginurile rău intenționate au fost distribuite din resursa 1dnscontrol.com și adresa IP IP5.61.37.209. Mai multe alte resurse sunt, de asemenea, asociate cu acest domeniu și IP, inclusiv secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.

Experții au investigat că proprietarii acestor site-uri au înregistrat multe resurse diferite, de exemplu, cele prin care încearcă să vândă medicamente contrafăcute folosind mesaje spam. Specialiștii ESET nu exclud că principalul atac cibernetic a fost efectuat cu ajutorul acestor resurse, folosind mailing-uri spam și phishing.

Cum apare infecția cu virusul Bad Rabbit?

Specialiștii de la Laboratorul de criminalistică informatică au efectuat o investigație asupra modului în care virusul a intrat în computerele utilizatorilor. S-a constatat că în majoritatea cazurilor virusul Ransomware prost Rabbit a fost distribuit ca o actualizare pentru Adobe Flash. Adică, virusul nu a exploatat nicio vulnerabilitate sistem de operare, dar a fost instalat de către utilizatorii înșiși, care, neștiind, au aprobat instalarea acestuia, crezând că actualizează Plugin Adobe Flash. Când virusul a intrat retea locala, a furat date de conectare și parole din memorie și s-a răspândit în mod independent la alte sisteme informatice.

Cum hackerii stoarc bani

După ce virusul ransomware a fost instalat pe computer, acesta criptează informațiile stocate. În continuare, utilizatorii primesc un mesaj care indică faptul că, pentru a avea acces la datele lor, trebuie să efectueze o plată pe un site specificat de pe darknet. Pentru a face acest lucru, mai întâi trebuie să instalați un special browser Tor. Pentru a debloca computerul, atacatorii storc la plata în valoare de 0,05 bitcoin. Astăzi, la 5.600 USD per Bitcoin, înseamnă aproximativ 280 USD pentru a debloca un computer. Utilizatorului i se acordă o perioadă de timp de 48 de ore pentru a efectua plata. După această perioadă, dacă suma necesară nu a fost transferată în contul electronic al atacatorului, suma crește.

Cum să te protejezi de virus

  1. Pentru a vă proteja de infectarea cu virusul Bad Rabbit, ar trebui să blocați accesul din mediul informațional la domeniile de mai sus.
  2. Pentru utilizatorii casnici, trebuie să actualizați curentul versiuni Windowsși program antivirus. În acest caz, fișierul rău intenționat va fi detectat ca un virus ransomware, ceea ce va exclude posibilitatea instalării acestuia pe computer.
  3. Acei utilizatori care folosesc sistemul de operare antivirus încorporat sisteme Windows, au deja protecție împotriva acestor ransomware. Este implementat în aplicație Windows Defender Antivirus.
  4. Dezvoltatorii programului antivirus de la Kaspersky Lab sfătuiesc toți utilizatorii să își facă periodic copii de rezervă ale datelor. În plus, experții recomandă blocarea execuției fișierelor c:\windows\infpub.dat, c:\WINDOWS\cscc.dat și, de asemenea, dacă este posibil, utilizarea serviciului WMI ar trebui interzisă.

Concluzie

Fiecare utilizator de computer ar trebui să-și amintească că securitatea cibernetică ar trebui să fie pe primul loc atunci când lucrează în rețea. Prin urmare, trebuie să vă asigurați întotdeauna că sunt utilizate numai produse dovedite. resurse informaționale si folositi cu atentie e-mailȘi social media. Prin aceste resurse se răspândesc cel mai adesea diferiți viruși. Regulile de bază de conduită în mediul informațional vor ajuta la eliminarea problemelor care apar în timpul unui atac de virus.



Se încarcă...
Top