Pozdrowienia, drodzy odwiedzający i goście tego bloga! Dzisiaj na świecie pojawił się kolejny wirus ransomware o nazwie: „ Zły Królik» — « Zły króliczek„. Jest to trzecie głośne oprogramowanie ransomware w 2017 r. Poprzednie to i (aka NotPetya).
Jak dotąd kilka rosyjskich mediów rzekomo ucierpiało z powodu tego oprogramowania ransomware – między innymi Interfax i Fontanka. Lotnisko w Odessie również zgłasza atak hakerski – prawdopodobnie powiązany z tym samym Bad Rabbitem.
Za odszyfrowanie plików napastnicy żądają 0,05 bitcoina, co przy obecnym kursie wymiany stanowi w przybliżeniu równowartość 283 dolarów lub 15 700 rubli.
Wyniki badania Kaspersky Lab wskazują, że w ataku nie wykorzystano exploitów. Bad Rabbit rozprzestrzenia się poprzez zainfekowane strony internetowe: użytkownicy pobierają fałszywy instalator Adobe Flasha, uruchom go ręcznie i w ten sposób infekuj swoje komputery.
Według Kaspersky Lab eksperci badają ten atak i szukają sposobów na walkę z nim, a także szukają możliwości odszyfrowania plików dotkniętych oprogramowaniem ransomware.
Większość ofiar ataku znajduje się w Rosji. Wiadomo też, że podobne ataki występują na Ukrainie, w Turcji i Niemczech, ale w znacznie mniejszych ilościach. Kryptograf Zły Królik rozprzestrzenia się za pośrednictwem wielu zainfekowanych rosyjskich witryn medialnych.
Kapersky Lab uważa, że wszystko wskazuje na to, że jest to atak ukierunkowany sieci korporacyjne. Stosowane są metody podobne do tych, które zaobserwowaliśmy w ataku ExPetr, ale nie możemy potwierdzić powiązania z ExPetr.
Wiadomo już, że produkty firmy Kaspersky Lab wykrywają jeden ze składników szkodliwego oprogramowania za pomocą usługi w chmurze Kaspersky Security Sieć jako UDS:DangerousObject.Multi.Generic, a także z za pomocą Systemu Obserwator jako PDM:Trojan.Win32.Generic.
Aby nie stać się ofiarą nowej epidemii „Złego Królika”, „ Kaspersky Lab„Zalecamy wykonanie następujących czynności:
Jeśli masz zainstalowany Kaspersky Anti-Virus, to:
Dla tych, którzy nie mają tego produktu:
Kolejna bardzo ważna rada ode mnie:
Zawsze rób kopia zapasowa (kopia zapasowa - kopia zapasowa ) pliki, które są dla Ciebie ważne. Na nośnikach wymiennych w usługi w chmurze! Oszczędzi to Twoje nerwy, pieniądze i czas!
Życzę Ci, abyś nie złapał tej infekcji na swoim komputerze. Korzystaj z czystego i bezpiecznego Internetu!
Wirus ransomware Bad Rabbit, który dzień wcześniej został zaatakowany przez rosyjskie media, próbował także zaatakować rosyjskie banki z pierwszej dwudziestki, Group-IB, która bada cyberprzestępstwa i im zapobiega, powiedział Forbesowi. Przedstawiciel firmy odmówił podania szczegółów dotyczących ataków na instytucje kredytowe, tłumacząc, że Group-IB nie udostępnia informacji o klientach korzystających z jej systemu wykrywania włamań.
Według ekspertów ds. cyberbezpieczeństwa do prób zainfekowania wirusem infrastruktury rosyjskich banków doszło 24 października w godzinach 13:00–15:00 czasu moskiewskiego. Group-IB uważa, że cyberataki zapewniły bankom lepszą ochronę w porównaniu do firm z sektora pozabankowego. Już wcześniej firma o tym informowała nowy wirus-kryptograf prawdopodobnie związane z czerwcową epidemią Oprogramowanie ransomware NotPetya(wskazują na to zbiegi okoliczności w kodzie), zaatakował rosyjskie media. Chodziło o systemy informacyjne agencja Interfax, a także serwery petersburskiego portalu informacyjnego Fontanka. Ponadto wirus uderzył w systemy kijowskiego metra, Ministerstwa Infrastruktury Ukrainy i Międzynarodowego Portu Lotniczego w Odessie. NotPetya uderzyła latem w spółki energetyczne, telekomunikacyjne i finansowe, głównie na Ukrainie. Za odszyfrowanie plików zainfekowanych wirusem BadRabbit napastnicy żądają 0,05 bitcoina, co przy obecnym kursie wymiany stanowi w przybliżeniu równowartość 283 dolarów lub 15 700 rubli.
Kaspersky Lab wyjaśnił, że tym razem hakerzy wybrali większość ofiar w Rosji. Jednak firma odnotowała podobne ataki na Ukrainie, w Turcji i Niemczech, ale „w znacznie mniejszej liczbie”. „Wszystko wskazuje na to, że jest to ukierunkowany atak na sieci korporacyjne. Stosowane są metody podobne do tych, które zaobserwowaliśmy w ataku ExPetr, ale nie możemy potwierdzić powiązania z ExPetr” – powiedział przedstawiciel firmy. Źródło Forbes dodało, że wszystkie produkty firmy Kaspersky Lab „wykrywają te szkodliwe pliki jako UDS:DangerousObject.Multi.Generic”.
Aby zabezpieczyć się przed tym atakiem, Kaspersky Lab zalecił użycie programu antywirusowego z włączoną funkcją KSN i modułem Monitorowania systemu. „Jeśli rozwiązanie zabezpieczające firmy Kaspersky Lab nie jest zainstalowane, zalecamy zablokowanie wykonywania plików o nazwach c:\windows\infpub.dat i C:\Windows\cscc.dat za pomocą narzędzi administracja systemem„, poinformował Wiaczesław Zakorzewski, szef działu badań antywirusowych w Kaspersky Lab.
Group-IB zauważa, że aby zapobiec szyfrowaniu plików przez wirusa, „należy utworzyć plik C:\windows\infpub.dat i nadać mu uprawnienia tylko do odczytu”. Firma twierdzi, że nawet jeśli zostaną zainfekowane, pliki nie zostaną zaszyfrowane. Jednocześnie konieczne jest szybkie izolowanie komputerów, w przypadku których wykryto wysyłanie takich szkodliwych plików, aby uniknąć infekcji na dużą skalę innych komputerów podłączonych do sieci. Następnie użytkownicy muszą upewnić się, że kopie zapasowe kluczowych węzłów sieci są aktualne i nienaruszone.
Po zakończeniu początkowych działań zaleca się użytkownikowi dokonanie aktualizacji systemy operacyjne i systemy bezpieczeństwa, jednocześnie blokując adresy IP i nazwy domen, z którego rozpowszechniane były szkodliwe pliki. Group-IB zaleca zmianę wszystkich haseł na bardziej złożone i blokowanie wyskakujących okienek, a także zakazanie przechowywania haseł w postaci zwykłego tekstu w LSA Dump.
W 2017 roku odnotowano już dwie duże epidemie oprogramowania ransomware – WannaCry (zaatakował 200 000 komputerów w 150 krajach) i ExPetr. Ten ostatni to Petya i jednocześnie NotPetya, zauważa Kaspersky Lab. Według firmy „trzeci się zaczyna”. Nazwa nowego wirusa ransomware Bad Rabbit „jest zapisana na stronie w ciemnej sieci, na którą jego twórcy wysyłają w celu wyjaśnienia szczegółów” – wyjaśnia firma. Group-IB uważa, że Bad Rabbit to zmodyfikowana wersja NotPetya z poprawionymi błędami w algorytmie szyfrowania. W szczególności kod Bad Rabbit zawiera bloki całkowicie identyczne z NotPetya.
ESET Rosja zgadza się, że złośliwe oprogramowanie wykorzystane w ataku „Win32/Diskcoder.D” jest zmodyfikowaną wersją „Win32/Diskcoder.C”, lepiej znaną jako Petya/NotPetya. Jak wyjaśnił w rozmowie z „Forbesem” Witalij Zemskich, szef wsparcia sprzedaży w ESET Rosja, statystyki ataków według krajów „w dużej mierze odpowiadają geograficznemu rozmieszczeniu witryn zawierających złośliwy JavaScript”. Najwięcej infekcji wystąpiło więc w Rosji (65%), następnie na Ukrainie (12,2%), w Bułgarii (10,2%), Turcji (6,4%) i Japonii (3,8%).
Zakażenie wirusem Bad Rabbit nastąpiło po odwiedzeniu zhakowanych stron. Hakerzy ładowali zainfekowane zasoby poprzez wstrzyknięcie kodu JavaScript do kodu HTML, co wyświetlało odwiedzającym fałszywe okno zachęcające ich do zainstalowania aktualizacji Adobe. Odtwarzacz Flash. Jeżeli użytkownik wyraził zgodę na aktualizację, wówczas plik złośliwy plik o nazwie „install_flash_player.exe”. „Zarażanie stacja robocza w organizacji program szyfrujący może być dystrybuowany w sieci korporacyjnej za pośrednictwem protokołu SMB. W przeciwieństwie do swojego poprzednika Petya/NotPetya, Bad Rabbit nie wykorzystuje exploita EthernalBlue — zamiast tego skanuje sieć w poszukiwaniu otwartych zasoby sieciowe„, mówi Zemskikh. Następnie na zainfekowanej maszynie uruchamiane jest narzędzie Mimikatz w celu zebrania danych uwierzytelniających. Dodatkowo istnieje zakodowana na stałe lista loginów i haseł.
Nie ma jeszcze informacji o tym, kto zorganizował ataki hakerskie. Jednocześnie zdaniem Group-IB podobne masowe ataki WannaCry i NotPetya można powiązać z grupami hakerskimi finansowanymi przez państwa. Eksperci wyciągają taki wniosek na podstawie faktu, że korzyści finansowe z takich ataków są „znikome” w porównaniu ze złożonością ich przeprowadzenia. „Najprawdopodobniej nie była to próba zarobienia pieniędzy, ale sprawdzenie poziomu ochrony sieci infrastruktury krytycznej przedsiębiorstw, agencji rządowych i firm prywatnych” – podsumowują eksperci. Przedstawiciel Group-IB potwierdził Forbesowi, że najnowszy wirus - Bad Rabbit - może okazać się testem ochrony infrastruktury instytucji rządowych i przedsiębiorstw. „Tak, nie jest to wykluczone. Biorąc pod uwagę, że ataki zostały przeprowadzone w sposób ukierunkowany – na obiekty infrastruktury krytycznej – lotnisko, metro, agencje rządowe – wyjaśnia rozmówca „Forbesa”.
Odpowiadając na pytanie o osoby odpowiedzialne za najnowszy atak, ESET Rosja podkreśla, że korzystając wyłącznie z narzędzi firmy antywirusowej nie da się przeprowadzić wysokiej jakości dochodzenia i zidentyfikować zaangażowanych, jest to zadanie specjalistów o innym profilu. „Jako firma antywirusowa identyfikujemy metody i cele ataków, złośliwe narzędzia atakujących, podatności i exploity. Znalezienie sprawców, ich motywów, narodowości itp. nie należy do naszych obowiązków” – powiedział przedstawiciel firmy, obiecując wyciągnąć wnioski na temat powołania Bad Rabbit na podstawie wyników śledztwa. „Niestety w najbliższej przyszłości będziemy świadkami wielu podobnych incydentów – wektor i scenariusz tego ataku wykazały wysoką skuteczność” – prognozuje ESET Rosja. Rozmówca „Forbesa” przypomina, że na 2017 rok firma przewidywała wzrost liczby ataków ukierunkowanych na sektor przedsiębiorstw, przede wszystkim na organizacje finansowe (o ponad 50% wg. wstępne szacunki). „Te przewidywania się teraz spełniają, obserwujemy wzrost liczby ataków połączony ze wzrostem szkód poniesionych przez dotknięte firmy” – przyznaje.
Trzeci cyberatak na dużą skalę w ciągu roku. Tym razem wirus ma nową nazwę Bad Rabbit i stare nawyki: szyfrowanie danych i wyłudzanie pieniędzy za odblokowanie. Rosja, Ukraina i niektóre inne kraje WNP nadal znajdują się na dotkniętym obszarze.
Zły Królik postępuje według zwykłego schematu: wysyła wiadomość e-mail typu phishing z załączonym wirusem lub linkiem. W szczególności osoby atakujące mogą podszywać się pod pomoc techniczną firmy Microsoft i prosić o pilne otwarcie załączonego pliku lub skorzystanie z łącza. Istnieje inny sposób dystrybucji - fałszywe okno Aktualizacje Adobe Flash Playera. W obu przypadkach Bad Rabbit działa w taki sam sposób, jak ten sensacyjny sprzed niedawna; szyfruje dane ofiary i żąda okupu w wysokości 0,05 bitcoina, co stanowi około 280 dolarów według kursu wymiany z 25 października 2017 roku. Ofiarami nowej epidemii byli Interfax, petersburska gazeta Fontanka, metropolita kijowski, lotnisko w Odessie i Ministerstwo Kultury Ukrainy. Istnieją dowody na to, że nowy wirus próbował zaatakować kilka znanych rosyjskich banków, ale pomysł ten się nie powiódł. Eksperci łączą Bad Rabbit z wcześniejszymi poważnymi atakami odnotowanymi w tym roku. Dowodem na to jest podobne oprogramowanie szyfrujące Diskcoder.D i jest to ten sam program szyfrujący Petya, tylko nieznacznie zmodyfikowany.
Eksperci polecają właścicielom Komputery z systemem Windows utwórz plik „infpub.dat” i umieść go w nim Folder Windowsa na dysku „C”. W rezultacie ścieżka powinna wyglądać następująco: C:\windows\infpub.dat. Można to zrobić za pomocą zwykłego notatnika, ale z uprawnieniami administratora. Aby to zrobić, znajdź link do programu Notatnik, kliknij prawym przyciskiem myszy i wybierz „Uruchom jako administrator”.
Następnie wystarczy zapisać ten plik pod adresem C:\windows\, czyli do folderu Windows na dysku „C”. Nazwa pliku: infpub.dat, gdzie „dat” jest rozszerzeniem pliku. Nie zapomnij zamienić standardowego rozszerzenia notatnika „txt” na „dat”. Po zapisaniu pliku otwórz folder Windows, znajdź utworzony plik infpub.dat, kliknij go prawym przyciskiem myszy i wybierz „Właściwości”, gdzie na samym dole musisz zaznaczyć pole wyboru „Tylko do odczytu”. W ten sposób, nawet jeśli złapiesz wirusa Bad Bunny, nie będzie on mógł zaszyfrować Twoich danych.
Nie zapominaj, że możesz uchronić się przed każdym wirusem, po prostu przestrzegając pewnych zasad. Może to wydawać się banalne, ale nigdy nie otwieraj e-maili, a tym bardziej ich załączników, jeśli adres wydaje Ci się podejrzany. Najpowszechniejszą metodą infekcji są wiadomości e-mail phishingowe, czyli podszywające się pod inne usługi. Uważaj, co otwierasz. Jeśli w wiadomości e-mail załączony plik nosi nazwę „Ważny dokument.docx_______.exe”, zdecydowanie nie powinieneś otwierać tego pliku. Ponadto musisz mieć kopie zapasowe ważnych plików. Można na przykład powielić archiwum rodzinne zawierające zdjęcia lub dokumenty robocze dysk zewnętrzny lub na przechowywanie w chmurze. Nie zapominaj, jak ważne jest korzystanie z licencji Wersja Windowsa i regularnie instaluj aktualizacje. Poprawki bezpieczeństwa są regularnie wydawane przez Microsoft, a ci, którzy je instalują, nie mają problemów z tego typu wirusami.
Wczoraj, 24 października 2017 r., duże rosyjskie media, a także szereg ukraińskich agencji rządowych zostały zaatakowane przez nieznanych napastników. Wśród ofiar były Interfax, Fontanka i co najmniej jedna inna anonimowa publikacja internetowa. W ślad za mediami donoszono także o problemach Międzynarodowe lotnisko„Odessa”, Metro w Kijowie i Ministerstwo Infrastruktury Ukrainy. Z oświadczenia analityków Group-IB wynika, że przestępcy próbowali także atakować infrastrukturę bankową, ale próby te zakończyły się niepowodzeniem. Specjaliści firmy ESET twierdzą z kolei, że ataki dotknęły użytkowników z Bułgarii, Turcji i Japonii.
Jak się okazało, przyczyną zakłóceń w pracy firm i agencji rządowych nie były masowe ataki DDoS, ale ransomware o nazwie Bad Rabbit (niektórzy eksperci wolą pisać BadRabbit bez spacji).
Wczoraj niewiele było wiadomo na temat szkodliwego oprogramowania i mechanizmów jego działania: zgłoszono, że ransomware żądał okupu w wysokości 0,05 bitcoina, a eksperci Group-IB poinformowali także, że atak był przygotowywany od kilku dni. W ten sposób na stronie atakujących odkryto dwa skrypty JS i, sądząc po informacjach z serwera, jeden z nich został zaktualizowany 19 października 2017 roku.
Teraz, choć od rozpoczęcia ataków nie minął nawet dzień, analizę ransomware przeprowadzili już specjaliści z niemal wszystkich wiodących firm zajmujących się bezpieczeństwem informacji na świecie. Czym więc jest Bad Rabbit i czy powinniśmy spodziewać się nowej „epidemii oprogramowania ransomware”, takiej jak WannaCry lub NotPetya?
Jak Bad Rabbit zdołał spowodować poważne awarie mediów, skoro chodziło o fałszywe aktualizacje Flasha? Według ESETU , Emsisoft I Fox-IT po infekcji szkodliwe oprogramowanie wykorzystywało narzędzie Mimikatz do wyodrębniania haseł z LSASS, a także posiadało listę najpopularniejszych loginów i haseł. Szkodnik wykorzystywał to wszystko do rozprzestrzeniania się za pośrednictwem protokołu SMB i WebDAV na inne serwery i stacje robocze znajdujące się w tej samej sieci, co zainfekowane urządzenie. Jednocześnie uważają tak eksperci z wymienionych powyżej firm oraz pracownicy Cisco Talos w tym przypadku agencjom wywiadowczym, które wykorzystywałyby wady SMB, nie skradziono żadnych narzędzi. Przypomnę ci to Wirusy WannaCry i NotPetya były dystrybuowane przy użyciu tego konkretnego exploita.
Jednak ekspertom udało się znaleźć pewne podobieństwa między Bad Rabbit i Petyą (NotPetya). W ten sposób ransomware nie tylko szyfruje pliki użytkownika przy użyciu oprogramowania DiskCryptor typu open source, ale modyfikuje MBR (główny rekord rozruchowy), po czym ponownie uruchamia komputer i wyświetla na ekranie komunikat z żądaniem okupu.
Choć wiadomość zawierająca żądania atakujących jest niemal identyczna z wiadomością operatorów NotPetya, eksperci mają nieco odmienne zdanie na temat powiązania Bad Rabbit i NotPetya. Tak obliczyli analitycy firmy Intezer kod źródłowy złośliwe oprogramowanie
Wirus ransomware, znany jako Bad Rabbit, zaatakował dziesiątki tysięcy komputerów na Ukrainie, w Turcji i Niemczech. Ale większość ataków miała miejsce w Rosji. Jaki to rodzaj wirusa i jak chronić swój komputer, powiemy Ci w naszej sekcji Pytania i odpowiedzi.
Kto cierpiał na Bad Rabbit w Rosji?
Wirus ransomware Bad Rabbit zaczął się rozprzestrzeniać 24 października. Wśród ofiar jego działań jest agencja informacyjna Interfax i wydawnictwo Fontanka.ru.
Na działaniach hakerów ucierpiało także kijowskie metro i lotnisko w Odessie. Wtedy dowiedziała się o próbie włamania się do systemów kilku rosyjskich banków z pierwszej dwudziestki.
Wszystko wskazuje na to, że jest to ukierunkowany atak na sieci korporacyjne, ponieważ wykorzystuje metody podobne do tych zaobserwowanych w ataku wirusa ExPetr.
Nowy wirus stawia każdemu jedno żądanie: okup w wysokości 0,05 Bitcoina. W przeliczeniu na ruble jest to około 16 tysięcy rubli. Informuje jednak, że czas na spełnienie tego wymogu jest ograniczony. Na wszystko podano nieco ponad 40 godzin. Ponadto wzrośnie opłata za wykup.
Co to za wirus i jak działa?
Czy już wiesz, kto stoi za jego rozprzestrzenianiem się?
Nie udało się jeszcze ustalić, kto stoi za tym atakiem. Dochodzenie doprowadziło programistów jedynie do nazwy domeny.
Eksperci z firm antywirusowych zauważają podobieństwo nowego wirusa do wirusa Petya.
Jednak w przeciwieństwie do poprzednich wirusów w tym roku, tym razem hakerzy zdecydowali się na prostą drogę, podaje 1tv.ru.
„Najwyraźniej przestępcy spodziewali się, że w większości firm użytkownicy zaktualizują swoje komputery po tych dwóch atakach, i postanowili wypróbować dość tanie rozwiązanie – inżynieria społeczna, aby infekować użytkowników w stosunkowo niezauważony na początku” – powiedział Wiaczesław Zakorzewski, szef działu badań antywirusowych w Kaspersky Lab.
Jak chronić komputer przed wirusem?
Zrób to koniecznie kopia zapasowa Twój system. Jeśli do ochrony używasz Kaspersky, ESET, Dr.Web lub innych popularnych analogów, powinieneś niezwłocznie zaktualizować bazy danych. Również w przypadku Kaspersky musisz włączyć „Monitorowanie aktywności” (Kontrola systemu), a w ESET musisz zastosować podpisy z aktualizacją 16295, informuje talkdevice.
Jeżeli nie posiadasz programów antywirusowych, zablokuj wykonywanie plików C:\Windows\infpub.dat i C:\Windows\cscc.dat. Odbywa się to za pośrednictwem edytora zasady grupowe lub AppLocker dla Windows.
Zatrzymaj działanie usługi — Instrumentacja zarządzania Windows (WMI). Poprzez prawy przycisk wejdź we właściwości usługi i wybierz tryb „Wyłączone” w „Typie uruchomienia”.
