Zdaniem Kaspersky Lab może to być zwiastun trzeciej fali wirusów szyfrujących. Pierwsze dwa to rewelacyjne WannaCry i Petya (aka NotPetya). Eksperci ds. cyberbezpieczeństwa opowiedzieli MIR 24 o pojawieniu się nowego szkodliwego oprogramowania sieciowego i sposobach ochrony przed jego potężnym atakiem.
Większość ofiar ataku Bad Rabbit znajduje się w Rosji. Jest ich znacznie mniej na Ukrainie, w Turcji i Niemczech, zauważył szef działu badań antywirusowych w Kaspersky Lab. Wiaczesław Zakorzewski. Prawdopodobnie drugim najbardziej aktywnym krajem były te kraje, w których użytkownicy aktywnie monitorują rosyjskie zasoby Internetu.
Gdy złośliwe oprogramowanie infekuje komputer, szyfruje znajdujące się na nim pliki. Jest dystrybuowany za pomocą ruchu sieciowego pochodzącego ze zhakowanych zasobów internetowych, wśród których znalazły się głównie strony rosyjskich mediów federalnych, a także komputery i serwery kijowskiego metra, ukraińskiego Ministerstwa Infrastruktury oraz międzynarodowego lotniska w Odessie. Odnotowano także nieudaną próbę ataku na rosyjskie banki z pierwszej dwudziestki.
O tym, że Fontanka, Interfax i szereg innych publikacji zostały zaatakowane przez Bad Rabbit, poinformowała wczoraj Group-IB, firma specjalizująca się w bezpieczeństwo informacji. Analiza kodu wirusa to wykazała Bad Rabbit jest powiązany z oprogramowaniem ransomware Not Petya, które w czerwcu w tym roku zaatakowały firmy energetyczne, telekomunikacyjne i finansowe na Ukrainie.
Atak był przygotowywany przez kilka dni i pomimo skali infekcji ransomware zażądał od ofiar ataku stosunkowo niewielkich kwot – 0,05 bitcoina (czyli około 283 dolarów, czyli 15 700 rubli). Na umorzenie przydzielono 48 godzin. Po upływie tego okresu kwota ulega zwiększeniu.
Specjaliści Group-IB uważają, że najprawdopodobniej hakerzy nie mają zamiaru zarabiać pieniędzy. Ich prawdopodobnym celem jest sprawdzenie poziomu ochrony sieci infrastruktury krytycznej przedsiębiorstw, instytucji rządowych i firm prywatnych.
Kiedy użytkownik odwiedza zainfekowaną witrynę, złośliwy kod przesyła informacje na jej temat do zdalnego serwera. Następnie pojawi się wyskakujące okienko z prośbą o pobranie aktualizacji dla Flash Playera, co jest fałszywe. Jeśli użytkownik zatwierdzi operację „Instaluj”, plik zostanie pobrany na komputer, co z kolei uruchomi w systemie szyfrator Win32/Filecoder.D. Następnie dostęp do dokumentów zostanie zablokowany, a na ekranie pojawi się komunikat z żądaniem okupu.
Wirus Bad Rabbit skanuje sieć w poszukiwaniu otwarcia zasoby sieciowe, po czym uruchamia na zainfekowanej maszynie narzędzie zbierające dane uwierzytelniające i to „zachowanie” różni się od swoich poprzedników.
Specjaliści z międzynarodowego producenta oprogramowania antywirusowego Eset NOD 32 potwierdzili, że Bad Rabbit tak nowa modyfikacja Wirus Petya, którego zasada działania była taka sama - wirus szyfrował informacje i żądał okupu w bitcoinach (kwota była porównywalna do Bad Rabbit - 300 dolarów). Nowe szkodliwe oprogramowanie naprawia błędy w szyfrowaniu plików. Kod używany w wirusie służy do szyfrowania dysków logicznych, zewnętrznych napędów USB i obrazów CD/DVD, a także plików startowych partycje systemowe dysk.
Mówiąc o publiczności, która została zaatakowana przez Bad Rabbit, szef wsparcia sprzedaży w ESET Rosja Witalij Zemskich stwierdził, że 65% ataków zatrzymanych przez produkty antywirusowe firmy miało miejsce w Rosji. Pozostała część geografii nowego wirusa wygląda następująco:
Ukraina – 12,2%
Bułgaria – 10,2%
Turcja – 6,4%
Japonia – 3,8%
pozostali – 2,4%
„Znane exploity ransomware oprogramowanie Z otwarte źródło o nazwie DiskCryptor w celu zaszyfrowania dysków ofiary. Ekran blokady widoczny dla użytkownika jest prawie identyczny z ekranami blokady Petya i NotPetya. Jest to jednak jedyne podobieństwo, jakie do tej pory zaobserwowaliśmy pomiędzy tymi dwoma szkodliwymi programami. Pod wszystkimi innymi względami BadRabbit jest zupełnie nowym i unikalnym typem oprogramowania ransomware” – mówi dyrektor techniczny firmy Check Point Software Technologies. Nikita Durow.
Właściciele systemów operacyjnych innych niż Windows mogą odetchnąć z ulgą, gdyż nowy wirus ransomware naraża na ataki tylko komputery z tą „osią”.
Aby chronić się przed złośliwym oprogramowaniem sieciowym, eksperci zalecają utworzenie na komputerze pliku C:\windows\infpub.dat i ustawienie dla niego praw tylko do odczytu - można to łatwo zrobić w sekcji administracyjnej. W ten sposób zablokujesz wykonanie pliku, a wszystkie dokumenty przychodzące z zewnątrz nie zostaną zaszyfrowane, nawet jeśli są zainfekowane. Aby uniknąć utraty cennych danych w przypadku infekcji wirusowej, wykonaj kopię zapasową już teraz. I oczywiście warto pamiętać, że zapłacenie okupu to pułapka, która nie gwarantuje odblokowania komputera.
Przypomnijmy, że w maju tego roku wirus rozprzestrzenił się w co najmniej 150 krajach na całym świecie. Zaszyfrował informacje i zażądał zapłaty okupu, według różnych źródeł, od 300 do 600 dolarów. Dotknęło to ponad 200 tysięcy użytkowników. Według jednej wersji jego twórcy za podstawę wzięli amerykańskie szkodliwe oprogramowanie NSA Eternal Blue.
Alla Smirnova rozmawiała z ekspertami
Bad Rabbit to wirus należący do grupy wirusów szyfrujących ransomware. Pojawił się całkiem niedawno i jest skierowany głównie do komputerów użytkowników w Rosji i na Ukrainie, a także częściowo w Niemczech i Turcji.
Zasada działania wirusów ransomware jest zawsze taka sama: gdy już znajdą się na komputerze, szkodliwy program szyfruje pliki systemowe i dane użytkownika, blokując dostęp do komputera za pomocą hasła. Na ekranie widoczne jest jedynie okno wirusa, żądania atakującego oraz numer konta, na które żąda on przelania pieniędzy w celu jego odblokowania. Po masowym rozpowszechnieniu się kryptowalut popularne stało się żądanie okupu w bitcoinach, ponieważ transakcje z nimi są niezwykle trudne do śledzenia z zewnątrz. Zły Królik robi to samo. Wykorzystuje luki w zabezpieczeniach system operacyjny, w szczególności w Adobe Flasha Player i penetruje go pod przykrywką aktualizacji.
Po infekcji BadRabbit tworzy Folder Windowsa plik infpub.dat, który tworzy pozostałe pliki programu: cscc.dat i dispci.exe, które dokonują zmian w ustawieniach MBR dysku użytkownika i tworzą swoje zadania na wzór Harmonogramu zadań. Ten szkodliwy program posiada własną stronę internetową, na której można płacić okup, korzysta z usługi szyfrowania DiskCryptor, szyfruje przy użyciu metod RSA-2048 i AE, a także monitoruje wszystkie urządzenia podłączone do ten komputer, próbując je także zarazić.
Według oceny firmy Symantec wirus otrzymał status niskiego zagrożenia, a według ekspertów został stworzony przez tych samych twórców, co wirusy wykryte kilka miesięcy przed Bad Rabbit, NotPetya i Petya, ponieważ podobne algorytmy praca. Oprogramowanie ransomware Bad Rabbit pojawiło się po raz pierwszy w październiku 2017 r., a jego pierwszymi ofiarami była internetowa gazeta Fontanka, szereg mediów oraz strona internetowa agencji informacyjnej Interfax. Firma Beeline również stała się celem ataku, jednak w porę zażegnano zagrożenie.
Uwaga: na szczęście w tej chwili programy wykrywające tego typu zagrożenia są skuteczniejsze niż dotychczas, a ryzyko zarażenia się tym wirusem zmalało.
Jak w większości przypadków tego typu, w celu wyeliminowania zagrożenia można spróbować przywrócić Program ładujący system Windows. W przypadku Windows 10 i Windows 8 w tym celu należy podłączyć dystrybucję instalacyjną systemu na USB lub DVD, a po uruchomieniu z niego przejść do opcji „Napraw swój komputer”. Następnie przejdź do „Rozwiązywanie problemów” i wybierz „ Linia poleceń».
Teraz pozostaje już tylko wprowadzać polecenia po kolei, każdorazowo wciskając Enter po wpisaniu kolejnego polecenia:
Po zakończeniu operacji wyjdź i uruchom ponownie. Najczęściej to wystarczy, aby rozwiązać problem.
W systemie Windows 7 kroki są takie same, tylko tam „Wiersz poleceń” znajduje się w „Opcjach” odzyskiwanie systemu„w sprawie dystrybucji instalacji.
Aby skorzystać z tej metody musisz być zalogowany. tryb bezpieczny z obsługą sieci. Jest z obsługą sieci, a nie prostym trybem awaryjnym. W systemie Windows 10 można to zrobić ponownie poprzez dystrybucję instalacyjną. Po uruchomieniu z niego, w oknie z przyciskiem „Zainstaluj” należy nacisnąć kombinację klawiszy Shift+F10 i wpisać w polu:
bcdedit /set (domyślnie) sieć Safeboot
W systemie Windows 7 wystarczy kilka razy nacisnąć klawisz F8 podczas włączania komputera i wybrać ten tryb rozruchu z listy w wyświetlonym menu.
Po wejściu do trybu awaryjnego głównym celem jest przeskanowanie systemu operacyjnego w poszukiwaniu zagrożeń. Lepiej to zrobić za pomocą sprawdzonych narzędzi, takich jak Reimage lub Malwarebytes Anti-Malware.
Do użycia tę metodę musisz ponownie skorzystać z „Wiersza poleceń” zgodnie z powyższymi instrukcjami, a po jego uruchomieniu wpisać cd recovery i potwierdzić klawiszem Enter. Następnie musisz wejść rstrui.exe. Otworzy się okno programu, w którym możesz powrócić do poprzedniego punktu przywracania poprzedzającego infekcję.
Koniec października tego roku upłynął pod znakiem pojawienia się nowego wirusa, który aktywnie atakował komputery użytkowników korporacyjnych i domowych. Nowy wirus jest kryptografem i nazywa się Bad Rabbit, co oznacza zły królik. Wirus ten został wykorzystany do ataku na strony internetowe kilku osób fundusze rosyjskieśrodki masowego przekazu. Później wirus został wykryty w sieciach informacyjnych ukraińskich przedsiębiorstw. Tam ich zaatakowano sieci informacyjne metro, różne ministerstwa, międzynarodowe lotniska itp. Nieco później podobny atak wirusa zaobserwowano w Niemczech i Turcji, choć jego aktywność była znacznie mniejsza niż na Ukrainie i w Rosji.
Złośliwy wirus to specjalna wtyczka, która po dotarciu do komputera szyfruje jego pliki. Po zaszyfrowaniu informacji osoby atakujące próbują wyłudzić od użytkowników nagrody za odszyfrowanie ich danych.
Specjaliści z laboratorium rozwoju oprogramowania antywirusowego ESET przeanalizowali algorytm ścieżki rozprzestrzeniania się wirusa i doszli do wniosku, że jest to zmodyfikowany wirus, który rozprzestrzeniał się nie tak dawno temu, podobnie jak wirus Petya.
Specjaliści z laboratorium ESET ustalili, że szkodliwe wtyczki były dystrybuowane z zasobu 1dnscontrol.com i adresu IP IP5.61.37.209. Z tą domeną i adresem IP powiązanych jest także kilka innych zasobów, w tym secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.
Eksperci sprawdzili, że właściciele tych witryn zarejestrowali wiele różnych zasobów, na przykład te, za pośrednictwem których próbują sprzedawać podrabiane leki za pomocą wysyłki spamowej. Specjaliści firmy ESET nie wykluczają, że to właśnie przy pomocy tych zasobów, przy wykorzystaniu spamu i phishingu, doszło do przeprowadzenia głównego cyberataku.
Specjaliści z Laboratorium Informatyki Kryminalistycznej przeprowadzili dochodzenie w celu ustalenia, w jaki sposób wirus przedostał się na komputery użytkowników. Odkryto, że w większości przypadków wirus ransomware Bad Rabbit był dystrybuowany jako aktualizacja Adobe Flash. Oznacza to, że wirus nie wykorzystywał żadnych luk w systemie operacyjnym, ale został zainstalowany przez samych użytkowników, którzy nie wiedząc o tym, zatwierdzili jego instalację, myśląc, że aktualizują Wtyczka Adobe Błysk. Kiedy wirus wszedł sieć lokalna, kradnął loginy i hasła z pamięci i niezależnie rozprzestrzeniał się do innych systemów komputerowych.
Po zainstalowaniu na komputerze wirusa ransomware szyfruje on przechowywane informacje. Następnie użytkownicy otrzymują komunikat informujący, że aby uzyskać dostęp do swoich danych, muszą dokonać płatności w określonej witrynie w darknecie. Aby to zrobić, musisz najpierw zainstalować specjalny Przeglądarka Tor. W celu odblokowania komputera napastnicy wymuszają płatność w wysokości 0,05 bitcoina. Dzisiaj, przy cenie 5600 dolarów za bitcoin, odblokowanie komputera kosztuje około 280 dolarów. Użytkownik ma 48 godzin na dokonanie płatności. Po tym okresie, jeśli wymagana kwota nie zostanie przelana na konto elektroniczne atakującego, kwota ta wzrasta.
Każdy użytkownik komputera powinien pamiętać, że podczas pracy w sieci na pierwszym miejscu powinno być cyberbezpieczeństwo. Dlatego należy zawsze zadbać o to, aby stosować wyłącznie sprawdzone produkty. zasoby informacyjne i używaj ostrożnie e-mail I media społecznościowe. To właśnie za pośrednictwem tych zasobów najczęściej prowadzona jest dystrybucja. różne wirusy. Podstawowe zasady postępowania w środowisku informacyjnym pomogą wyeliminować problemy powstałe podczas ataku wirusa.
Wczoraj, 24 października 2017 r., duże rosyjskie media, a także szereg ukraińskich agencji rządowych zostały zaatakowane przez nieznanych napastników. Wśród ofiar były Interfax, Fontanka i co najmniej jedna inna anonimowa publikacja internetowa. W ślad za mediami donoszono także o problemach Międzynarodowe lotnisko„Odessa”, Metro w Kijowie i Ministerstwo Infrastruktury Ukrainy. Z oświadczenia analityków Group-IB wynika, że przestępcy próbowali także atakować infrastrukturę bankową, ale próby te zakończyły się niepowodzeniem. Specjaliści firmy ESET twierdzą z kolei, że ataki dotknęły użytkowników z Bułgarii, Turcji i Japonii.
Jak się okazało, przyczyną zakłóceń w pracy firm i agencji rządowych nie były masowe ataki DDoS, ale ransomware o nazwie Bad Rabbit (niektórzy eksperci wolą pisać BadRabbit bez spacji).
Wczoraj niewiele było wiadomo na temat szkodliwego oprogramowania i mechanizmów jego działania: zgłoszono, że ransomware żądał okupu w wysokości 0,05 bitcoina, a eksperci Group-IB poinformowali także, że atak był przygotowywany od kilku dni. W ten sposób na stronie atakujących odkryto dwa skrypty JS i, sądząc po informacjach z serwera, jeden z nich został zaktualizowany 19 października 2017 roku.
Teraz, choć od rozpoczęcia ataków nie minął nawet dzień, analizę ransomware przeprowadzili już specjaliści z niemal wszystkich wiodących firm zajmujących się bezpieczeństwem informacji na świecie. Czym więc jest Bad Rabbit i czy powinniśmy spodziewać się nowej „epidemii oprogramowania ransomware”, takiej jak WannaCry lub NotPetya?
Jak Bad Rabbit zdołał spowodować poważne awarie mediów, skoro chodziło o fałszywe aktualizacje Flasha? Według ESETU , Emsisoft I Fox-IT po infekcji szkodliwe oprogramowanie wykorzystywało narzędzie Mimikatz do wyodrębniania haseł z LSASS, a także posiadało listę najpopularniejszych loginów i haseł. Szkodnik wykorzystywał to wszystko do rozprzestrzeniania się za pośrednictwem protokołu SMB i WebDAV na inne serwery i stacje robocze znajdujące się w tej samej sieci, co zainfekowane urządzenie. Jednocześnie uważają tak eksperci z wymienionych powyżej firm oraz pracownicy Cisco Talos w tym przypadku agencjom wywiadowczym, które wykorzystywałyby wady SMB, nie skradziono żadnych narzędzi. Przypomnę ci to Wirusy WannaCry i NotPetya były dystrybuowane przy użyciu tego konkretnego exploita.
Jednak ekspertom udało się znaleźć pewne podobieństwa między Bad Rabbit i Petyą (NotPetya). W ten sposób ransomware nie tylko szyfruje pliki użytkownika przy użyciu oprogramowania DiskCryptor typu open source, ale modyfikuje MBR (główny rekord rozruchowy), po czym ponownie uruchamia komputer i wyświetla na ekranie komunikat z żądaniem okupu.
Choć wiadomość zawierająca żądania atakujących jest niemal identyczna z wiadomością operatorów NotPetya, eksperci mają nieco odmienne zdanie na temat powiązania Bad Rabbit i NotPetya. Tak obliczyli analitycy firmy Intezer kod źródłowy złośliwe oprogramowanie
Pozdrowienia, drodzy odwiedzający i goście tego bloga! Dzisiaj na świecie pojawił się kolejny wirus ransomware o nazwie: „ Zły Królik» — « Zły króliczek„. Jest to trzecie głośne oprogramowanie ransomware w 2017 r. Poprzednie to i (aka NotPetya).
Jak dotąd kilka rosyjskich mediów rzekomo ucierpiało z powodu tego oprogramowania ransomware – między innymi Interfax i Fontanka. Lotnisko w Odessie również zgłasza atak hakerski – prawdopodobnie powiązany z tym samym Bad Rabbitem.
Za odszyfrowanie plików napastnicy żądają 0,05 bitcoina, co przy obecnym kursie wymiany stanowi w przybliżeniu równowartość 283 dolarów lub 15 700 rubli.
Wyniki badania Kaspersky Lab wskazują, że w ataku nie wykorzystano exploitów. Bad Rabbit rozprzestrzenia się poprzez zainfekowane strony internetowe: użytkownicy pobierają fałszywy instalator Adobe Flash, ręcznie go uruchamiają i w ten sposób infekują swoje komputery.
Według Kaspersky Lab eksperci badają ten atak i szukają sposobów na walkę z nim, a także szukają możliwości odszyfrowania plików dotkniętych oprogramowaniem ransomware.
Większość ofiar ataku znajduje się w Rosji. Wiadomo też, że podobne ataki występują na Ukrainie, w Turcji i Niemczech, ale w znacznie mniejszych ilościach. Kryptograf Zły Królik rozprzestrzenia się za pośrednictwem wielu zainfekowanych rosyjskich witryn medialnych.
Kapersky Lab uważa, że wszystko wskazuje na to, że jest to atak ukierunkowany sieci korporacyjne. Stosowane są metody podobne do tych, które zaobserwowaliśmy w ataku ExPetr, ale nie możemy potwierdzić powiązania z ExPetr.
Wiadomo już, że produkty firmy Kaspersky Lab wykrywają jeden ze składników szkodliwego oprogramowania za pomocą usługi w chmurze Kaspersky Security Sieć jako UDS:DangerousObject.Multi.Generic, a także z za pomocą Systemu Obserwator jako PDM:Trojan.Win32.Generic.
Aby nie stać się ofiarą nowej epidemii „Złego Królika”, „ Kaspersky Lab„Zalecamy wykonanie następujących czynności:
Jeśli masz zainstalowany Kaspersky Anti-Virus, to:
Dla tych, którzy nie mają tego produktu:
Kolejna bardzo ważna rada ode mnie:
Zawsze rób kopia zapasowa (kopia zapasowa - kopia zapasowa ) pliki, które są dla Ciebie ważne. Na nośnikach wymiennych w usługi w chmurze! Oszczędzi to Twoje nerwy, pieniądze i czas!
Życzę Ci, abyś nie złapał tej infekcji na swoim komputerze. Korzystaj z czystego i bezpiecznego Internetu!
