Bad Rabbit este un virus care aparține virușilor ransomware de criptare. A apărut destul de recent și se adresează în principal computerelor utilizatorilor din Rusia și Ucraina, precum și parțial din Germania și Turcia.
Principiul de funcționare al virușilor ransomware este întotdeauna același: o dată pe computer, programul rău intenționat criptează fișierele de sistem și datele utilizatorului, blocând accesul la computer folosind o parolă. Tot ceea ce este afișat pe ecran este fereastra virusului, cerințele atacatorului și numărul de cont la care cere să transfere bani pentru a-l debloca. După răspândirea masivă a criptomonedelor, a devenit popular să se ceară răscumpărare în bitcoini, deoarece tranzacțiile cu acestea sunt extrem de greu de urmărit din exterior. Bad Rabbit face la fel. Exploatează vulnerabilitățile sistem de operare, în special la Adobe Flash Player, și pătrunde sub masca unei actualizări pentru acesta.
După infectare, BadRabbit creează folderul Windows fișierul infpub.dat, care creează fișierele de program rămase: cscc.dat și dispci.exe, care își modifică setările MBR ale discului utilizatorului și își creează sarcini similare cu Task Scheduler. Acest program rău intenționat are propriul site web personal pentru plata răscumpărării, folosește serviciul de criptare DiskCryptor, criptează folosind metodele RSA-2048 și AE și, de asemenea, monitorizează toate dispozitivele conectate la acest calculator, încercând să-i infecteze și pe ei.
Conform evaluării Symantec, virusul a primit statutul de amenințare scăzută și, potrivit experților, a fost creat de aceiași dezvoltatori ca și virușii descoperiți cu câteva luni înainte de Bad Rabbit, NotPetya și Petya, deoarece are algoritmi de operare similari. Ransomware-ul Bad Rabbit a apărut pentru prima dată în octombrie 2017, iar primele sale victime au fost ziarul online Fontanka, o serie de instituții media și un site web. agenție de știri Interfax. Compania Beeline a fost și ea supusă unui atac, dar amenințarea a fost evitată în timp.
Notă: Din fericire, acest moment programele de detectare a unor astfel de amenințări sunt mai eficiente decât înainte, iar riscul de a contracta acest virus a scăzut.
Eliminarea virusului Bad Rabbit
Recuperare bootloader
Ca în majoritatea cazurilor de acest tip, pentru a elimina amenințarea, puteți încerca să o restaurați încărcător de pornire Windows. În cazul Windows 10 și Windows 8, pentru a face acest lucru, trebuie să conectați distribuția de instalare a sistemului la USB sau DVD, iar după pornirea de pe acesta, mergeți la opțiunea „Remediați computerul”. După aceea, trebuie să mergeți la „Depanare” și să selectați „ Linie de comanda».
Acum nu mai rămâne decât să introduceți comenzile una câte una, apăsând Enter de fiecare dată după introducerea următoarei comenzi:
- bootrec /FixMbr
- bootrec /FixBoot
- bootrec /ScanOs
- bootrec /RebuildBcd
După ce operațiunile au fost finalizate, ieșiți și reporniți. Cel mai adesea, acest lucru este suficient pentru a rezolva problema.
Pentru Windows 7, pașii sunt aceiași, doar acolo „Command Prompt” se află în „Opțiuni” recuperare sistem„cu privire la distribuția instalațiilor.
Eliminarea unui virus utilizând modul Safe
Pentru a utiliza această metodă trebuie să fii autentificat. modul sigur cu suport de rețea. Este cu suport de rețea și nu simplu Safe Mode. În Windows 10, acest lucru se poate face din nou prin distribuția de instalare. După pornirea de pe acesta, în fereastra cu butonul „Instalare”, trebuie să apăsați combinația de taste Shift+F10 și să introduceți în câmp:
bcdedit /set (implicit) rețea safeboot
În Windows 7, puteți pur și simplu să apăsați F8 de mai multe ori în timp ce porniți computerul și să selectați acest mod de pornire din lista din meniul care apare.
După intrarea în modul Safe, scopul principal este scanarea sistemului de operare pentru amenințări. Este mai bine să faceți acest lucru prin utilități testate în timp, cum ar fi Reimage sau Malwarebytes Anti-Malware.
Eliminați amenințarea folosind Centrul de recuperare
Pentru utilizare aceasta metoda trebuie să utilizați din nou „Linia de comandă”, ca în instrucțiunile de mai sus, iar după lansare, introduceți cd restore și confirmați apăsând Enter. După aceasta, trebuie să introduceți rstrui.exe. Se va deschide o fereastră de program în care vă puteți întoarce la punctul de restaurare anterior care a precedat infecția.
Pe 24 octombrie, presa rusă, precum și companii de transportȘi agentii guvernamentale Ucraina a fost atacată de ransomware-ul Bad Rabbit. Potrivit unor surse deschise, printre victime se numără metroul din Kiev, aeroportul Odesa, Ministerul Infrastructurii al Ucrainei, redacția Interfax și Fontanka.
Potrivit laboratorului de viruși ESET, malware Diskcoder.D a fost folosit în atacul asupra metroului din Kiev - noua modificare criptator cunoscut sub numele de Petya.
Specialisti in securitatea informatiei Grupul-IB a constatat că atacul era pregătit de câteva zile. ESET avertizează că ransomware intră în computer printr-o actualizare falsă a pluginului Adobe Flash. După aceea, infectează computerul și criptează fișierele de pe acesta. Apoi apare un mesaj pe monitor care spune că computerul este blocat și pentru a decripta fișierele trebuie să accesați site-ul web Bad Rabbit - caforssztxqzf2nm.onion prin intermediul browser Tor.
Epidemiile de ransomware WannaCry și NotPetya au arătat că este necesar să se actualizeze la timp programe instalateși sistem, precum și să facă copii de rezervă pentru a nu rămâne fără Informații importante după un atac de virus.
Cu toate acestea, dacă apare o infecție, experții de la Group-IB nu recomandă plata răscumpărării, deoarece:
- în felul acesta îi ajuți pe criminali;
- Nu avem nicio dovadă că datele celor care au plătit au fost restaurate.
Cum să vă protejați computerul de infecția Bad Rabbit?
Pentru a evita să deveniți o victimă a noii epidemii Bad Rabbit, experții Kaspersky Lab recomandă să faceți următoarele:
Pentru utilizatorii soluțiilor antivirus Kaspersky Lab:
- Verificați dacă soluția dvs. de securitate include componente Kaspersky Security Monitor de rețea și activitate (aka System Watcher). Dacă nu, asigurați-vă că îl porniți.
Pentru cei care nu folosesc solutii antivirus Kaspersky Lab.
Salutări, dragi vizitatori și oaspeți ai acestui blog! Astăzi a apărut un alt virus ransomware în lume numit: „ Iepure rău» — « Iepurașul rău". Acesta este al treilea ransomware de profil înalt din 2017. Cele anterioare au fost și (alias NotPetya).
Bad Rabbit - Cine a suferit deja și cere mulți bani?
Până acum, mai multe instituții de presă ruse ar fi suferit din cauza acestui ransomware - printre care Interfax și Fontanka. Aeroportul din Odesa raportează și un atac de hacker - posibil legat de același iepure rău.
Pentru decriptarea fișierelor, atacatorii cer 0,05 bitcoin, care la cursul de schimb actual este aproximativ echivalent cu 283 de dolari sau 15.700 de ruble.
Rezultatele cercetărilor Kaspersky Lab indică faptul că atacul nu folosește exploit-uri. Bad Rabbit se răspândește prin site-uri web infectate: utilizatorii descarcă un program de instalare Adobe Flash fals, îl rulează manual și, prin urmare, își infectează computerele.
Potrivit Kaspersky Lab, experții investighează acest atac și caută modalități de a-l combate, precum și posibilitatea de a decripta fișierele afectate de ransomware.
Majoritatea victimelor atacului se află în Rusia. De asemenea, se știe că atacuri similare au loc în Ucraina, Turcia și Germania, dar în număr mult mai mic. Criptograf Iepure rău se răspândește printr-un număr de site-uri media rusești infectate.
Kapersky Lab consideră că toate semnele indică faptul că acesta este un atac țintit asupra rețelelor corporative. Sunt folosite metode similare cu cele observate de noi în atacul ExPetr, dar nu putem confirma conexiunea cu ExPetr.
Se știe deja că produsele Kaspersky Lab detectează una dintre componentele malware folosind serviciul cloud Kaspersky Security Network ca UDS:DangerousObject.Multi.Generic și, de asemenea, utilizând System Watcher ca PDM:Trojan.Win32.Generic.
Cum să te protejezi de virusul Bad Rabbit?
Pentru a evita să deveniți o victimă a noii epidemii „Bad Bunny”, „ Kaspersky Lab„Recomandăm să faceți următoarele:
Dacă aveți instalat Kaspersky Anti-Virus, atunci:
- Verificați dacă componentele Kaspersky Security Network și Activity Monitor (alias System Watcher) sunt activate în soluția dvs. de securitate. Dacă nu, asigurați-vă că îl porniți.
Pentru cei care nu au acest produs:
- Blocați execuția fișierului c:\windows\infpub.dat, C:\Windows\cscc.dat. Acest lucru se poate face prin .
- Dezactivați (dacă este posibil) utilizarea serviciului WMI.
Un alt sfat foarte important din partea mea:
Fă-o mereu backup (backup - copie de rezervă ) fișiere care sunt importante pentru dvs. Pe suporturi amovibile, V servicii cloud! Acest lucru vă va economisi nervii, banii și timpul!
Vă doresc să nu prindeți această infecție pe computer. Aveți un internet curat și sigur!
La sfârșitul anilor 1980, virusul SIDA („PC Cyborg”), scris de Joseph Popp, ascundea directoare și fișiere criptate, necesitând plata a aproximativ 200 USD pentru o „reînnoire a licenței”. La început, ransomware-ul era destinat doar oamenilor obișnuiți care foloseau computere care rulează Control Windows, dar acum amenințarea în sine a devenit o problemă serioasă pentru afaceri: apar tot mai multe programe, devin din ce în ce mai ieftine și mai accesibile. Extorcarea folosind programe malware este principala amenințare cibernetică în 2/3 țări din UE. Unul dintre cei mai obișnuiți viruși ransomware, CryptoLocker, a infectat peste un sfert de milion de computere din țările UE din septembrie 2013.
În 2016, numărul atacurilor de tip ransomware a crescut brusc – conform analiștilor, de peste o sută de ori față de anul precedent. Aceasta este o tendință în creștere și, după cum am văzut, companii și organizații complet diferite sunt atacate. Amenințarea este relevantă și pentru organizațiile non-profit. Deoarece pentru fiecare atac major, malware-ul este actualizat și testat de către atacatori pentru a „trece”. protectie antivirus, antivirusurile, de regulă, sunt neputincioși împotriva lor.
Pe 12 octombrie, Serviciul de Securitate al Ucrainei a avertizat cu privire la probabilitatea unor noi atacuri cibernetice la scară largă asupra agențiilor guvernamentale și companiilor private, similar cu epidemia de ransomware din iunie. Nu Petya. Potrivit serviciului de informații ucrainean, „atacul poate fi efectuat folosind actualizări, inclusiv aplicații software disponibile public”. Să ne amintim că în cazul unui atac NuPetya, pe care cercetătorii l-au legat de grupul BlackEnergy, primele victime au fost companiile care le-au folosit software Dezvoltator ucrainean al sistemului de management al documentelor „M.E.Doc”.
Apoi, în primele 2 ore, au fost atacate companii de energie, telecomunicații și financiare: Zaporozhyeoblenergo, Dneproenergo, Dnieper Electric Power System, Mondelez International, Oschadbank, Mars ". Nova Poshta„, Nivea, TESA, metroul Kiev, calculatoare ale Cabinetului de Miniștri și Guvernului Ucrainei, magazine Auchan, operatori ucraineni (Kyivstar, LifeCell, UkrTeleCom), Privatbank, aeroportul Boryspil.
Puțin mai devreme, în mai 2017, Virusul ransomware WannaCry a atacat 200.000 de computere din 150 de țări. Virusul s-a răspândit prin rețelele universităților din China, fabricile Renault din Franța și Nissan din Japonia, compania de telecomunicații Telefonica din Spania și operatorul feroviar Deutsche Bahn din Germania. Din cauza blocării computerelor din clinicile din Marea Britanie, operațiunile au trebuit să fie amânate, iar unitățile regionale ale Ministerului rus al Afacerilor Interne nu au putut elibera permise de conducere. Cercetătorii au spus că în spatele atacului s-au aflat hackeri nord-coreeni de la Lazarus.
În 2017, virușii de criptare au atins un nou nivel: utilizarea instrumentelor din arsenalele serviciilor de informații americane și a noilor mecanisme de distribuție de către infractorii cibernetici au dus la epidemii internaționale, dintre care cele mai mari au fost WannaCry și NotPetya. În ciuda amplorii infecției, ransomware-ul în sine a colectat sume relativ nesemnificative - cel mai probabil, acestea nu au fost încercări de a câștiga bani, ci de a testa nivelul de protecție a rețelelor de infrastructură critică ale întreprinderilor, agențiilor guvernamentale și companiilor private.
Sfârșitul lunii octombrie a acestui an a fost marcat de apariția unui nou virus care a atacat în mod activ computerele utilizatorilor corporativi și casnici. Noul virus este un criptator și se numește Bad Rabbit, ceea ce înseamnă iepure rău. Acest virus a fost folosit pentru a ataca site-urile mai multor fonduri rusești mass media. Ulterior, virusul a fost descoperit în rețelele de informații ale întreprinderilor ucrainene. Acolo au fost atacate rețelele de informare ale metroului, diverse ministere, aeroporturi internaționale etc. Puțin mai târziu, un atac similar de virus a fost observat în Germania și Turcia, deși activitatea sa a fost semnificativ mai mică decât în Ucraina și Rusia.
Un virus rău intenționat este un plugin special care, odată ce ajunge la un computer, își criptează fișierele. După ce informațiile au fost criptate, atacatorii încearcă să obțină recompense de la utilizatori pentru decriptarea datelor lor.
Răspândirea virusului
Specialiștii din laboratorul programului antivirus ESET au analizat algoritmul căii de răspândire a virusului și au ajuns la concluzia că este un virus modificat care se răspândea nu cu mult timp în urmă, precum virusul Petya.
Specialiștii din laboratorul ESET au stabilit că pluginurile rău intenționate au fost distribuite din resursa 1dnscontrol.com și adresa IP IP5.61.37.209. Mai multe alte resurse sunt, de asemenea, asociate cu acest domeniu și IP, inclusiv secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.
Experții au investigat că proprietarii acestor site-uri au înregistrat multe resurse diferite, de exemplu, cele prin care încearcă să vândă medicamente contrafăcute folosind mesaje spam. Specialiștii ESET nu exclud că principalul atac cibernetic a fost efectuat cu ajutorul acestor resurse, folosind mailing-uri spam și phishing.
Cum apare infecția cu virusul Bad Rabbit?
Specialiștii de la Laboratorul de criminalistică informatică au efectuat o investigație asupra modului în care virusul a intrat în computerele utilizatorilor. S-a constatat că în majoritatea cazurilor Virus ransomware Rău Rabbit a fost distribuit ca o actualizare pentru Adobe Flash. Adică virusul nu a exploatat nicio vulnerabilitate a sistemului de operare, ci a fost instalat chiar de utilizatori, care, fără să știe, au aprobat instalarea acestuia, crezând că se actualizează. Plugin Adobe Flash. Când virusul a intrat retea locala, a furat date de conectare și parole din memorie și s-a răspândit în mod independent la alte sisteme informatice.
Cum hackerii stoarc bani
După ce virusul ransomware a fost instalat pe computer, acesta criptează informațiile stocate. În continuare, utilizatorii primesc un mesaj care indică faptul că, pentru a avea acces la datele lor, trebuie să efectueze o plată pe un site specificat de pe darknet. Pentru a face acest lucru, mai întâi trebuie să instalați un browser special Tor. Pentru a debloca computerul, atacatorii storc la plata în valoare de 0,05 bitcoin. Astăzi, la 5.600 USD per Bitcoin, înseamnă aproximativ 280 USD pentru a debloca un computer. Utilizatorului i se acordă o perioadă de timp de 48 de ore pentru a efectua plata. După această perioadă, dacă suma necesară nu a fost transferată în contul electronic al atacatorului, suma crește.
Cum să te protejezi de virus
- Pentru a vă proteja de infectarea cu virusul Bad Rabbit, ar trebui să blocați accesul din mediul informațional la domeniile de mai sus.
- Pentru utilizatorii casnici, trebuie să actualizați curentul versiuni Windowsși program antivirus. În acest caz, fișierul rău intenționat va fi detectat ca un virus ransomware, ceea ce va exclude posibilitatea instalării acestuia pe computer.
- Acei utilizatori care folosesc sistemul de operare antivirus încorporat sisteme Windows, au deja protecție împotriva acestor ransomware. Este implementat în aplicație Windows Defender Antivirus.
- Dezvoltatorii programului antivirus de la Kaspersky Lab sfătuiesc toți utilizatorii să își facă periodic copii de rezervă ale datelor. În plus, experții recomandă blocarea execuției fișierelor c:\windows\infpub.dat, c:\WINDOWS\cscc.dat și, de asemenea, dacă este posibil, utilizarea serviciului WMI ar trebui interzisă.
Concluzie
Fiecare utilizator de computer ar trebui să-și amintească că securitatea cibernetică ar trebui să fie pe primul loc atunci când lucrează în rețea. Prin urmare, trebuie să vă asigurați întotdeauna că sunt utilizate numai produse dovedite. resurse informaționale si folositi cu atentie e-mailȘi social media. Prin aceste resurse se răspândesc cel mai adesea diferiți viruși. Regulile de bază de conduită în mediul informațional vor ajuta la eliminarea problemelor care apar în timpul unui atac de virus.
Se încarcă...