Третя масштабна кібератака за рік. Цього разу вірус із новою назвою Bad Rabbit та старими звичками — шифрування даних та вимагання грошей за розблокування. І в зоні поразки як і раніше Росія, Україна та деякі інші країни СНД.
Поганий Кролик діє за звичною схемою: надсилає фішингове лист із вкладеним вірусом чи посиланням. Зокрема, зловмисники можуть бути техпідтримкою Microsoft і попросити терміново відкрити вкладений файл або пройти за посиланням. Є й інший шлях розповсюдження – підроблене вікно оновлення Adobe Flash Player. В обох випадках Bad Rabbit діє також, як і нашумевший нещодавно, він шифрує дані жертви і вимагає викуп у розмірі 0,05 біткойна, що приблизно $280 за курсом на 25 жовтня 2017 року. Жертвами нової епідемії стали "Інтерфакс", пітерське видання "Фонтанка", київський Метрополітен, одеський аеропорт та Міністерство культури України. Є дані, що новий вірус намагався атакувати і кілька відомих російських банків, але ця витівка провалилася. Експерти пов'язують Bad Rabbit із попередніми великими атаками, зафіксованими цього року. Доказом тому служить подібне шифрування Diskcoder.D, а це той самий шифрувальник Petya, тільки трохи видозмінений.
Як захиститись від Bad Rabbit?
Фахівці рекомендують власникам Windows комп'ютерівстворити файл "infpub.dat" і помістити його в папку Windowsна диску "C". У результаті шлях має виглядати так: C:\windows\infpub.dat. Зробити це можна за допомогою звичайного блокнота, але з правами адміністратора. Для цього знаходимо посилання на програму Блокнот, клацаємо правою кнопкою мишки і вибираємо Запуск від імені Адміністратора.
Далі потрібно просто зберегти цей файл за адресою C: \ Windows \, тобто в папку Windows на диску "C". Назва файлу: infpub.dat, при цьому "dat" це розширення файлу. Не забудьте замінити стандартне розширення блокноту "txt" на "dat". Після того, як ви збережете файл, відкрийте папку Windows, знайдіть створений файл infpub.dat, натисніть на нього правою кнопкою миші і виберіть пункт "Властивості", де в самому низу потрібно поставити галочку "Тільки читання". Таким чином, навіть якщо ви зловите вірус Поганого Кролика, він не зможе зашифрувати ваші дані.
Превентивні заходи
Не забувайте, що захистити себе від будь-якого вірусу можна просто дотримуючись певних правил. Прозвучить банально, але ніколи не відкривайте листи і вже тим більше їх вкладення, якщо адреса здається вам підозрілою. Фішингові листи, тобто маскуються під інші сервіси, найбільш частий спосібзараження. Уважно стежте за тим, що ви відкриваєте. Якщо в листі вкладений файл називається «Важливий документ.docx_______.exe», то відкривати цей файл точно не слід. Крім цього, потрібно мати резервні копії важливих файлів. Наприклад, сімейний архів з фотографіями або робочі документи можна продублювати на зовнішній дискабо на хмарне сховище. Не забувайте, як важливо використовувати ліцензійну версію Windows та регулярно встановлювати оновлення. Патчі безпеки випускаються Microsoft регулярно і ті, хто їх встановлює, не мають проблем з подібними вірусами.
Всім привіт! Буквально днями в Росії та Україні, Туреччині, Німеччині та Болгарії почалася масштабна атака хакерів новим вірусом-шифрувальником Bad Rabbit, він же Diskcoder.D. Шифрувальник на даний моментатакує корпоративні мережі великих та середніх організацій, блокуючи всі мережі. Сьогодні ми розповімо, що з себе представляє цей троян і як можна захиститися від нього.
Що це за вірус?
Bad Rabbit (Поганий Кролик) діє за стандартною для шифрувальників схемою: потрапляючи в систему, він кодує файли, за розшифровку яких хакери вимагають 0,05 біткоїну, що за курсом становить 283 $ (або 15 700 руб). Про це повідомляється окремим вікном, куди, власне, і потрібно вводити куплений ключ. Загроза відноситься до типу троянів Trojan.Win32.Genericпроте в ньому присутні й інші компоненти, такі як DangerousObject.Multi.Genericі Ransom .Win 32.Gen .ftl.
Bad Rabbit – новий вірус шифрувальник
Повністю відстежити всі джерела зараження поки що складно, але фахівці цим зараз займаються. Імовірно, загроза потрапляє на ПК через заражені сайти, на яких налаштовано перенаправлення, або під виглядом фейкових оновлень для популярних плагінів типу Adobe Flash. Список таких сайтів поки що розширюється.
Чи можна видалити вірус та як захиститися?
Відразу варто сказати, зараз все антивірусні лабораторіївзялися за аналіз цього трояна. Якщо безпосередньо шукати інформацію з видалення вірусу, її, як такий, немає. Відкинемо відразу стандартні поради – зробіть бекап системи, точку повернення, видаліть такі файли. Якщо у вас немає збережень, то все інше не працює, хакери такі моменти через специфікацію вірусу продумали.
Я думаю, протягом швидкого часу будуть розповсюджені створені любителями дешифратори для Bad Rabbit - вестися на ці програми або ні - ваша особиста справа. Як показав минулий шифрувальник Petya, це мало кому допомагає.
А ось попередити загрозу та видалити її при спробі залізти у ПК можна. Першими на повідомлення про вірусну епідемію відреагували лабораторії Kaspersky та ESET, які вже зараз блокують спроби проникнення. Браузер Google Chrome також почав виявляти заражені ресурси та попереджати про їхню небезпеку. Ось що потрібно зробити для захисту від BadRabbit насамперед:
- Якщо ви використовуєте для захисту Касперський, ESET, Dr.Web, або інші популярні аналоги, необхідно обов'язково виконати оновлення баз даних. Також, для Касперського необхідно включити "Моніторинг активності" (System Watcher), а ESET застосуйте сигнатури з оновленням 16295.
- Якщо ви не користуєтесь антивірусами, тоді необхідно заблокувати виконання файлів C:\Windows\infpub.datі C:\Windows\cscc.dat. Робиться це через редактор групових політик, або програму AppLocker для Windows.
- Обов'язково зробіть резервну копію системи. За ідеєю, копія повинна завжди зберігатися на носії, що підключається. Ось невелика відео-інструкція щодо її створення.
Бажано заборонити виконання служби – Windows Management Instrumentation (WMI). У десятці служба називається “Інструментарій керування Windows”. Через праву кнопкуувійдіть у властивості служби та виберіть у "Тип запуску"режим "Відключена".
Висновок
На завершення варто сказати найголовніше – не варто платити викуп, щоб у вас не було зашифровано. Такі дії лише підбурюють шахраїв створювати нові вірусні атаки. Слідкуйте за форумами антивірусних компаній, які, я сподіваюся, незабаром вивчать вірус Bad Rabbit і знайдуть ефективну таблетку. Обов'язково виконайте вищезазначені пункти захисту вашої ОС. У разі складнощів у їх виконанні, відпишіться у коментарях.
Вірус-шифрувальник Bad Rabbit, атаку якого напередодні зазнали російські ЗМІ, намагався атакувати і російські банки з топ-20, розповіли Forbes у Group-IB, яка займається розслідуванням та запобіганням кіберзлочинам. Уточнити подробиці атак на кредитні організації представник компанії відмовився, пояснивши, що Group-IB не розкриває інформацію про клієнтів, які використовують її систему виявлення вторгнень.
За даними фахівців з кібербезпеки, спроби зараження вірусом інфраструктур російських банків відбувалися 24 жовтня з 13.00 до 15.00 мск. У Group-IB вважають, що кібератаки продемонстрували якісніший захист банків порівняно з компаніями небанківського сектору. Раніше в компанії повідомили, що новий вірус-шифрувальник, ймовірно, пов'язаний з червневою епідемією шифрувальника NotPetya (на це вказують збіги в коді), атакував російські ЗМІ. Йшлося про інформаційних системахагенції «Інтерфакс», а також серверах петербурзького порталу новин"Фонтанка". Крім того, вірус вдарив у системи Київського метрополітену, міністерства інфраструктури України, Міжнародного аеропорту «Одеса». NotPetya влітку вразив енергетичні, телекомунікаційні та фінансові компанії переважно на Україні. За розшифрування файлів, заражених вірусом Bad Rabbit, зловмисники вимагають 0,05 біткойна, що за поточним курсом приблизно еквівалентно $283 або 15 700 рублів.
У «Лабораторії Касперського» уточнили, що на цей раз більшість жертв хакери обрали в Росії. Проте схожі атаки в компанії зафіксували в Україні, Туреччині та Німеччині, але «у значно меншій кількості». «Усі ознаки вказують на те, що це цілеспрямована атака на корпоративні мережі. Використовуються методи, схожі на ті, що ми спостерігали в атаці ExPetr, проте зв'язку з ExPetr ми не підтвердити», - повідомив представник компанії. Співрозмовник Forbes додав, що всі продукти "Лабораторії Касперського" "детектують ці шкідливі файли як UDS: DangerousObject.Multi.Generic".
Як захиститись?
З метою захисту від цієї атаки в «Лабораторії Касперського» рекомендували використовувати антивірус із включеним KSN та модулем «Моніторинг системи». "Якщо не встановлено захисне рішення "Лабораторії Касперського", ми рекомендуємо заборонити виконання файлів з назвами c:\windows\infpub.dat та C:\Windows\cscc.dat за допомогою інструментів системного адміністрування", - порадив керівник відділу антивірусних досліджень "Лабораторії" Касперського» В'ячеслав Закоржевський.
У Group-IB зазначають, щоб вірус не зміг зашифрувати файли, «необхідно створити файл C:\windows\infpub.dat та поставити йому права «тільки для читання». Після цього навіть у разі зараження файли не будуть зашифровані, йдеться у повідомленні компанії. У той же час необхідно оперативно ізолювати комп'ютери, які були помічені у пересиланні подібних шкідливих файлів, щоб уникнути масштабного зараження інших комп'ютерів, підключених до мережі. Після цього користувачам необхідно переконатися в актуальності та цілісності резервних копійключових мережевих вузлів.
Коли первинні дії виконані, користувачеві радять оновити операційні системита системи безпеки, паралельно заблокувавши IP-адреси та доменні імена, З яких відбувалося поширення шкідливих файлів. Group-IB рекомендує змінити всі паролі на складніші та поставити блокування спливаючих вікон, а також заборонити зберігання паролів у LSA Dump у відкритому вигляді.
Хто стоїть за атакою BadRabbit
У 2017 році вже було зафіксовано дві найбільші епідемії шифрувальників - WannaCry (атакував 200 000 комп'ютерів у 150 країнах світу) та ExPetr. Останній – Petya і одночасно NotPetya, зазначають у «Лабораторії Касперського». Тепер, на думку компанії, "починається третя". Ім'я нового вірусу-шифрувальника Bad Rabbit "написано на сторінці в даркнеті, на яку його творці відправляють за з'ясуванням деталей", уточнюють у компанії. У Group-IB вважають, що Bad Rabbit є модифікованою версією NotPetya з виправленими помилками алгоритму шифрування. Зокрема, код Bad Rabbit включає блоки, що повністю повторюють NotPetya.
В ESET Russia погоджуються, що шкідливе ПЗ «Win32/Diskcoder.D», що використовувалося в атаці, – модифікована версія «Win32/Diskcoder.C», більш відомого як Petya/NotPetya. Як уточнив Віталій Земських, керівник підтримки продажів ESET Russia, у розмові з Forbes, статистика атак по країнах «значною мірою відповідає географічному розподілу сайтів, що містять шкідливий JavaScript». Таким чином, більша частина заражень припала на Росію (65%), слідом йдуть Україна (12,2%), Болгарія (10,2%), Туреччина (6,4%) та Японія (3,8%).
Зараження вірусом Bad Rabbit відбувалося після заходу на зламані сайти. На скомпрометовані ресурси HTML-код хакери завантажили JavaScript-інжект, який показував відвідувачам підроблене вікно, що пропонує встановити оновлення Adobe Flash плеєра. Якщо користувач погоджувався на оновлення, на комп'ютер встановлювався шкідливий файл з ім'ям «install_flash_player.exe». «Заразив робочу станціюв організації шифратор може поширюватися всередині корпоративної мережі через протокол SMB. На відміну від свого попередника Petya/NotPetya, Bad Rabbit не використовує експлойт EthernalBlue - натомість він сканує мережу на предмет відкритих мережевих ресурсів», – каже Земських. Слідом на зараженій машині запускається інструмент Mimikatz для збирання облікових даних. Крім того, передбачено жорстко закодований список логінів та паролів.
Інформації про те, хто організував атаки хакерів поки немає. У той же час, на думку Group-IB, схожі за характером масові атаки WannaCry та NotPetya могли бути пов'язані з хакерськими угрупованнями, що фінансуються державами. Фахівці роблять такий висновок на підставі того, що фінансовий зиск від подібних атак у порівнянні зі складністю їх проведення «мізерний». «Швидше за все, це були не спроби заробити, а перевірити рівень захисту мереж критичної інфраструктури підприємств, держвідомств та приватних компаній», - підсумовують експерти. Представник Group-IB підтвердив Forbes, що останній вірус – Bad Rabbit – може виявитися перевіркою захисту інфраструктур держвідомств та бізнесу. «Так, це не виключено. З огляду на те, що атаки велися точково - по об'єктах критичної інфраструктури - аеропорт, метрополітен, держустанови», - пояснює співрозмовник Forbes.
Відповідаючи на питання про винних в останній атаці, в ESET Russia наголошують, що використовуючи лише інструменти антивірусної компанії, провести якісне розслідування та встановити причетних неможливо, це завдання фахівців іншого профілю. «Ми як антивірусна компанія виявляємо методи та цілі атак, шкідливі інструменти атакуючих, уразливості та експлойти. Пошук винних, їх мотивів, державної власності та інше – не наша сфера відповідальності», - заявив представник компанії, пообіцявши зробити висновки щодо призначення Bad Rabbit за підсумками розслідування. "На жаль, у найближчій перспективі ми побачимо чимало подібних інцидентів - вектор і сценарій цієї атаки показали високу ефективність", - роблять прогнози в ESET Russia. Співрозмовник Forbes нагадує, що на 2017 рік компанія прогнозувала зростання кількості цільових атак на корпоративний сектор, перш за все, на фінансові організації (понад 50%, за попередніми оцінками). "В даний час ці прогнози збуваються, ми спостерігаємо зростання кількості атак у поєднанні зі збільшенням збитків постраждалих компаній", - визнає він.
Учора, 24 жовтня 2017 року, великі російські ЗМІ, а також низка українських держустанов невідомих зловмисників. Серед постраждалих опинилися «Інтерфакс», «Фонтанка» та як мінімум ще одне неназване інтернет-видання. Слідом за ЗМІ про проблеми також повідомили Міжнародний аеропорт "Одеса", Київський метрополітен та українське Міністерство інфраструктури. За заявою аналітиків Group-IB, злочинці також намагалися атакувати банківські інфраструктури, але ці спроби виявилися невдалими. Фахівці ESET у свою чергу стверджують, що атаки торкнулися користувачів з Болгарії, Туреччини та Японії.
Як виявилося, перебої в роботі компаній та держустанов були викликані не масовими DDoS-атаками, але шифрувальником, який носить ім'я Bad Rabbit (деякі експерти вважають за краще писати BadRabbit без пропуску).
Учора про малварі та механізми її роботи було відомо небагато: повідомлялося, що шифрувальник вимагає викуп у розмірі 0,05 біткоїну, а також експерти Group-IB розповідали, що атака готувалася кілька днів. Так, на сайті зловмисників було виявлено два JS-скрипти, і, судячи з інформації з сервера, один із них оновлювався 19 жовтня 2017 року.
Тепер, хоча не минуло й доби з початку атак, аналіз шифрувальника вже здійснили фахівці чи не всіх провідних ІБ-компаній світу. Отже, що являє собою Bad Rabbit, і чи слід очікувати на нову «вимагательську епідемію», подібну до WannaCry чи NotPetya?
Як Bad Rabbit зумів викликати перебої в роботі великих ЗМІ, якщо справа була у фальшивих оновленнях для Flash? За даними ESET , Emsisoftі Fox-ITПісля зараження шкідливість задіяв утиліту Mimikatz для вилучення паролів з LSASS, а також мав список найбільш поширених логінів і паролів. Все це шкідливість задіяв, щоб за допомогою SMB та WebDAV поширитися на інші сервери та робочі станції, що знаходяться в одній мережі із зараженим пристроєм. При цьому експерти перерахованих вище компаній та співробітники Cisco Talos вважають, що в даному випадку обійшлося без вкраденого у спецслужб інструменту, що використовує проломи в SMB. Нагадаю, що віруси WannaCry та NotPetya поширювалися за допомогою саме цього експлоїту.
Втім, фахівцям все ж таки вдалося виявити деяку подібність між Bad Rabbit і Petya (NotPetya). Так, здирник не просто зашифровує файли користувача, використовуючи опенсорсний DiskCryptor , але модифікує MBR (Master Boot Record), після чого перезавантажує комп'ютер і виводить на екран повідомлення з вимогою викупу.
Хоча повідомлення з вимогами зловмисників практично ідентичне посланню від операторів NotPetya, думки експертів щодо зв'язку між Bad Rabbit та NotPetya трохи розходяться. Так, аналітики компанії Intezer підрахували, що вихідний кодшкідників
Ще наприкінці 80-х вірус AIDS (PC Cyborg), написаний Джозефом Поппом, приховував каталоги і шифрував файли, вимагаючи виплатити близько $200 за «продовження ліцензії». Спочатку програми-вимагачі були націлені лише на звичайних людей, які використовують комп'ютери під керуванням WindowsАле зараз сама загроза стала серйозною проблемою для бізнесу: програм з'являється все більше, вони стають дешевшими і доступнішими. Здирництво з використанням шкідливих програм - основна кіберзагроза в 2\3 країнах Євросоюзу. Один з найпоширеніших вірусів-здирників програма CryptoLocker - починаючи з вересня 2013 заразив більше чверті мільйона комп'ютерів у країнах ЄС.
У 2016 році кількість атак шифрувальників різко збільшилася - за оцінками аналітиків, більш ніж у сто разів у порівнянні з попереднім роком. Це наростаючий тренд, причому під ударом, як ми побачили, виявилися зовсім різні компанії та організації. Загроза є актуальною і для некомерційних організацій. Тому що для кожної великої атаки шкідливі програмимодернізуються та тестуються зловмисниками на «проходження» через антивірусний захист, антивіруси, як правило, проти них безсилі.
Служба безпеки України 12 жовтня попереджала про ймовірність нових масштабних кібератак на державні структури та приватні компанії, подібні до червневої епідемії вірусу-шифрувальника NotPetya. За інформацією української спецслужби, "атаку можна здійснити з використанням оновлень, у тому числі загальнодоступного прикладного програмного забезпечення". Нагадаємо, що у випадку з атакою NotPetya,яку дослідники пов'язували з групою BlackEnergy, першими жертвами стали компанії, які використовують програмне забезпеченняукраїнського розробника системи документообігу "M.E.Doc".
Тоді, у перші 2 години були атаковані енергетичні, телекомунікаційні та фінансові компанії: Запоріжжяобленерго, Дніпроенерго, Дніпровська електроенергетична система, Mondelez International, Ощадбанк, Mars, Нова Пошта", Nivea, TESA, Київський метрополітен, комп'ютери Кабінету міністрів та уряду України, магазини "Ашан", українські оператори ("Київстар", LifeCell, "Укртелеком"), Приватбанк, аеропорт Бориспіль.
Трохи раніше, у травні 2017 року, вірус-шифрувальник WannaCryатакував 200 000 комп'ютерів у 150 країнах світу. Вірус пройшовся мережами університетів у Китаї, заводів Renault у Франції та Nissan у Японії, телекомунікаційної компанії Telefonica в Іспанії та залізничного оператора Deutsche Bahn у Німеччині. Через заблоковані комп'ютери в клініках Великобританії довелося відкласти операції, а регіональні підрозділи МВС Росії - не змогли видавати права водія. Дослідники заявили, що за атакою стоять північнокорейські хакери з Lazarus.
У 2017 році віруси-шифрувальники вийшли на новий рівень: використання кіберзлочинцями інструментів з арсеналів американських спецслужб та нових механізмом поширення призвело до міжнародних епідемій, наймасштабнішими з них виявилися WannaCry та NotPetya. Незважаючи на масштаби зараження, самі здирники зібрали порівняно мізерні суми - швидше за все це були не спроби заробити, а перевірити рівень захисту мереж критичної інфраструктури підприємств, держвідомств та приватних компаній.
Завантаження...