Det kan vara ett förebud om den tredje vågen av krypteringsvirus, tror Kaspersky Lab. De två första var sensationella WannaCry och Petya (aka NotPetya). Cybersäkerhetsexperter berättade för MIR 24 om uppkomsten av ett nytt skadligt nätverk och hur man skyddar sig mot dess kraftfulla attack.
De flesta av offren för attacken med Bad Rabbit befinner sig i Ryssland. Det finns betydligt färre av dem i Ukraina, Turkiet och Tyskland, konstaterade chefen för antivirusforskningsavdelningen vid Kaspersky Lab. Vyacheslav Zakorzhevsky. Förmodligen var de näst mest aktiva länderna de länder där användare aktivt övervakar ryska internetresurser.
När skadlig programvara infekterar en dator, krypterar den filer på den. Den distribueras med hjälp av webbtrafik från hackade internetresurser, bland vilka huvudsakligen var webbplatser för federala ryska medier, samt datorer och servrar i Kievs tunnelbana, det ukrainska ministeriet för infrastruktur och Odessas internationella flygplats. Ett misslyckat försök att attackera ryska banker från topp 20 registrerades också.
Att Fontanka, Interfax och ett antal andra publikationer attackerades av Bad Rabbit rapporterades i går av Group-IB, ett företag som specialiserat sig på informationssäkerhet. Analys av viruskoden visade det Bad Rabbit förknippas med Not Petya ransomware, som i juni i år attackerade energi-, telekommunikations- och finansföretag i Ukraina.
Attacken var förberedd under flera dagar och trots infektionens omfattning krävde ransomwaren relativt små belopp från offren för attacken - 0,05 bitcoin (det är cirka 283 dollar eller 15 700 rubel). 48 timmar avsätts för inlösen. Efter att denna period löper ut ökar beloppet.
Group-IB-specialister tror att hackarna med största sannolikhet inte har för avsikt att tjäna pengar. Deras troliga mål är att kontrollera skyddsnivån för kritiska infrastrukturnätverk för företag, statliga myndigheter och privata företag.
När en användare besöker en infekterad webbplats överför den skadliga koden information om den till en fjärrserver. Därefter visas ett popup-fönster som ber dig att ladda ner en uppdatering för Flash Player, vilket är falskt. Om användaren godkänner "Installera"-operationen kommer en fil att laddas ner till datorn, som i sin tur kommer att starta Win32/Filecoder.D-krypteringen på systemet. Därefter kommer åtkomst till dokumenten att blockeras, och ett lösenmeddelande visas på skärmen.
Bad Rabbit-viruset skannar nätverket för öppet nätverksresurser, varefter den lanserar ett verktyg på den infekterade maskinen för att samla in referenser och detta "beteende" skiljer sig från sina föregångare.
Specialister från den internationella utvecklaren av antivirusprogramvaran Eset NOD 32 bekräftade att Bad Rabbit är det ny modifiering Petya-virus, vars funktionsprincip var densamma - viruset krypterade information och krävde en lösensumma i bitcoins (beloppet var jämförbart med Bad Rabbit - $300). Den nya skadliga programvaran fixar fel i filkryptering. Koden som används i viruset är utformad för att kryptera logiska enheter, externa USB-enheter och CD/DVD-bilder, samt startbar systempartitioner disk.
På tal om publiken som attackerades av Bad Rabbit, chef för försäljningssupport på ESET Ryssland Vitaly Zemskikh uppgav att 65 % av attackerna som stoppades av företagets antivirusprodukter inträffade i Ryssland. Resten av geografin för det nya viruset ser ut så här:
Ukraina – 12,2 %
Bulgarien – 10,2 %
Turkiet – 6,4 %
Japan – 3,8 %
andra – 2,4 %
"Kända utnyttjande av ransomware programvara Med öppen källkod kallade DiskCryptor för att kryptera offrets diskar. Låsmeddelandeskärmen som användaren ser är nästan identisk med låsskärmarna Petya och NotPetya. Detta är dock den enda likheten vi har sett hittills mellan de två skadliga programmen. I alla andra aspekter är BadRabbit en helt ny och unik typ av ransomware”, säger den tekniska chefen för Check Point Software Technologies. Nikita Durov.
Ägare av andra operativsystem än Windows kan andas ut, som nytt ransomware-virus gör endast datorer med denna "axel" sårbara.
För att skydda mot nätverksskadlig programvara rekommenderar experter att du skapar filen C:\windows\infpub.dat på din dator och ställer in skrivskyddade rättigheter för den - detta är enkelt att göra i administrationssektionen. På så sätt kommer du att blockera filkörning och alla dokument som kommer utifrån kommer inte att krypteras även om de är infekterade. För att undvika att förlora värdefull data i händelse av en virusinfektion, gör en säkerhetskopia nu. Och naturligtvis är det värt att komma ihåg att att betala en lösensumma är en fälla som inte garanterar att din dator kommer att låsas upp.
Låt oss påminna dig om att viruset spreds i minst 150 länder runt om i världen i maj i år. Han krypterade informationen och krävde att betala en lösensumma, enligt olika källor, från 300 till 600 dollar. Över 200 tusen användare påverkades av det. Enligt en version tog dess skapare den amerikanska NSA Eternal Blue malware som grund.
Alla Smirnova pratade med experter
Bad Rabbit är ett virus som tillhör de krypterande ransomware-virusen. Det dök upp ganska nyligen och riktar sig främst till datorer för användare i Ryssland och Ukraina, såväl som delvis i Tyskland och Turkiet.
Funktionsprincipen för ransomware-virus är alltid densamma: en gång på en dator krypterar det skadliga programmet systemfiler och användardata och blockerar åtkomst till datorn med ett lösenord. Allt som visas på skärmen är virusfönstret, angriparens krav och kontonumret som han kräver att överföra pengar till för att låsa upp det. Efter den massiva spridningen av kryptovalutor blev det populärt att kräva lösen i bitcoins, eftersom transaktioner med dem är extremt svåra att spåra utifrån. Bad Rabbit gör samma sak. Den utnyttjar sårbarheter operativsystem, särskilt i Adobe Flash Player, och penetrerar under sken av en uppdatering för den.
Efter infektion skapar BadRabbit Windows-mappen filen infpub.dat, som skapar de återstående programfilerna: cscc.dat och dispci.exe, som gör sina ändringar i MBR-inställningarna på användarens disk och skapar deras uppgifter som liknar Aktivitetsschemaläggaren. Detta skadliga program har sin egen personliga webbplats för att betala lösen, använder krypteringstjänsten DiskCryptor, krypterar med RSA-2048 och AE-metoder och övervakar även alla enheter som är anslutna till denna dator, försöker infektera dem också.
Enligt Symantecs bedömning fick viruset låg hotstatus, och enligt experter skapades det av samma utvecklare som virusen upptäckte ett par månader innan Bad Rabbit, NotPetya och Petya, eftersom det har liknande algoritmer arbete. Bad Rabbit ransomware dök upp första gången i oktober 2017 och dess första offer var onlinetidningen Fontanka, ett antal medier och webbplatsen för nyhetsbyrån Interfax. Även företaget Beeline utsattes för en attack, men hotet avvärjdes i tid.
Obs: Lyckligtvis just nu program för att upptäcka sådana hot är effektivare än tidigare, och risken att smittas av detta virus har minskat.
Som i de flesta fall av denna typ, för att eliminera hotet kan du försöka återställa Windows starthanterare. I fallet med Windows 10 och Windows 8, för att göra detta, måste du ansluta still USB eller DVD, och efter att ha startat från den, gå till alternativet "Fixa din dator". Efter det måste du gå till "Felsökning" och välja " Kommandorad».
Nu återstår bara att ange kommandona ett efter ett, tryck på Enter varje gång efter att du har skrivit in nästa kommando:
När operationerna har slutförts, avsluta och starta om. Oftast är detta tillräckligt för att lösa problemet.
För Windows 7 är stegen desamma, bara där finns "Kommandotolk" i "Alternativ" systemåterställning"på installationsdistributionen.
För att använda denna metod måste du vara inloggad. säkert läge med nätverksstöd. Det är med nätverksstöd och inte enkelt felsäkert läge. I Windows 10 kan detta göras igen genom installationsdistributionen. Efter att ha startat från det, i fönstret med "Installera" -knappen, måste du trycka på tangentkombinationen Shift+F10 och ange i fältet:
bcdedit /set (standard) safeboot-nätverk
I Windows 7 kan du helt enkelt trycka på F8 flera gånger medan du slår på datorn och välja detta startläge från listan i menyn som visas.
Efter att ha gått in i felsäkert läge är huvudmålet att skanna operativsystemet efter hot. Det är bättre att göra detta genom tidstestade verktyg som Reimage eller Malwarebytes Anti-Malware.
Att använda denna metod du måste använda "Kommandoraden" igen, som i instruktionerna ovan, och efter att ha startat den, ange cd restore och bekräfta genom att trycka på Enter. Efter detta måste du ange rstrui.exe. Ett programfönster öppnas där du kan återgå till den tidigare återställningspunkten som föregick infektionen.
Slutet av oktober i år präglades av uppkomsten av ett nytt virus som aktivt attackerade företags- och hemanvändares datorer. Nytt virusär kryptograf och heter Bad Rabbit, vilket betyder dålig kanin. Detta virus användes för att attackera flera webbplatser ryska fonder massmedia. Senare upptäcktes viruset i ukrainska företags informationsnätverk. De attackerades där informationsnätverk tunnelbana, olika ministerier, internationella flygplatser m.m. Lite senare observerades en liknande virusattack i Tyskland och Turkiet, även om dess aktivitet var betydligt lägre än i Ukraina och Ryssland.
Ett skadligt virus är ett speciellt plugin som, när det når en dator, krypterar dess filer. Efter att informationen har krypterats försöker angripare få belöningar från användare för att dekryptera deras data.
Specialister från ESETs antiviranalyserade algoritmen för virusets spridningsväg och kom till slutsatsen att det är ett modifierat virus som spred sig för inte så länge sedan, som Petya-viruset.
ESETs laboratoriespecialister fastställde att de skadliga plugin-programmen distribuerades från resursen 1dnscontrol.com och IP-adressen IP5.61.37.209. Flera andra resurser är också associerade med denna domän och IP, inklusive secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.
Experter har undersökt att ägarna till dessa sajter har registrerat många olika resurser, till exempel de genom vilka de försöker sälja förfalskade läkemedel med hjälp av spamutskick. ESET-specialister utesluter inte att det var med hjälp av dessa resurser, med hjälp av skräppostutskick och nätfiske, som den huvudsakliga cyberattacken utfördes.
Specialister från Computer Forensics Laboratory genomförde en undersökning av hur viruset kom in på användarnas datorer. Det upptäcktes att Bad Rabbit ransomware-viruset i de flesta fall distribuerades som en uppdatering till Adobe Flash. Det vill säga att viruset inte utnyttjade några sårbarheter i operativsystemet, utan installerades av användarna själva, som utan att veta om det godkände installationen och trodde att de uppdaterade Adobe plugin Flash. När viruset kom in lokalt nätverk, stal det inloggningar och lösenord från minnet och spred sig självständigt till andra datorsystem.
Efter att ransomware-viruset har installerats på datorn krypterar det den lagrade informationen. Därefter får användare ett meddelande som indikerar att för att få tillgång till deras data måste de göra en betalning på en specifik plats på darknet. För att göra detta måste du först installera en speciell Tor webbläsare. För att låsa upp datorn tvingar angriparna ut betalningar på 0,05 bitcoin. Idag, till ett pris av $5 600 för 1 Bitcoin, är det ungefär $280 för att låsa upp en dator. Användaren får en tidsperiod på 48 timmar för att betala. Efter denna period, om det erforderliga beloppet inte har överförts till angriparens elektroniska konto, ökar beloppet.
Varje datoranvändare bör komma ihåg att cybersäkerhet bör komma först när de arbetar på nätverket. Därför bör du alltid se till att endast beprövade produkter används. informationsresurser och använd försiktigt e-post Och sociala medier. Det är genom dessa resurser som distributionen oftast sker. olika virus. Grundläggande uppföranderegler i informationsmiljön hjälper till att eliminera problem som uppstår under en virusattack.
Igår, den 24 oktober 2017, attackerades stora ryska medier, samt ett antal ukrainska myndigheter, av okända angripare. Bland offren fanns Interfax, Fontanka och minst en annan icke namngiven onlinepublikation. Efter media rapporterades också problem Internationell flygplats"Odessa", Kiev Metro och det ukrainska ministeriet för infrastruktur. Enligt ett uttalande från Group-IB-analytiker försökte brottslingar också attackera bankinfrastruktur, men dessa försök misslyckades. ESET-specialister hävdar i sin tur att attackerna påverkade användare från Bulgarien, Turkiet och Japan.
Det visade sig att störningar i företagens och statliga myndigheters arbete inte orsakades av massiva DDoS-attacker, utan av ett ransomware som heter Bad Rabbit (vissa experter föredrar att skriva BadRabbit utan ett mellanslag).
I går var lite känt om skadlig programvara och mekanismerna för dess funktion: det rapporterades att ransomwaren krävde en lösensumma på 0,05 bitcoin, och Group-IB-experter sa också att attacken hade varit under förberedelse i flera dagar. Således upptäcktes två JS-skript på angriparnas webbplats, och, att döma av information från servern, uppdaterades ett av dem den 19 oktober 2017.
Nu, även om det inte ens en dag har gått sedan attackerna började, har analysen av ransomware redan utförts av specialister från nästan alla ledande informationssäkerhetsföretag i världen. Så, vad är Bad Rabbit, och ska vi förvänta oss en ny "ransomware-epidemi" som WannaCry eller NotPetya?
Hur lyckades Bad Rabbit orsaka stora mediaavbrott när det handlade om falska Flash-uppdateringar? Enligt ESET , Emsisoft Och Fox-IT, efter infektion använde den skadliga programvaran Mimikatz-verktyget för att extrahera lösenord från LSASS, och hade även en lista över de vanligaste inloggningarna och lösenorden. Skadlig programvara använde allt detta för att spridas via SMB och WebDAV till andra servrar och arbetsstationer i samma nätverk som den infekterade enheten. Samtidigt tror experter från ovan listade företag och Cisco Talos-anställda det i detta fall Det fanns inga verktyg stulna från underrättelsetjänster som utnyttjade SMB-brister. Låt mig påminna dig om det WannaCry-virus och NotPetya distribuerades med denna speciella exploatering.
Men experter lyckades fortfarande hitta vissa likheter mellan Bad Rabbit och Petya (NotPetya). Således krypterar ransomwaren inte bara användarfiler med öppen källkod från DiskCryptor, utan modifierar MBR (Master Boot Record), varefter den startar om datorn och visar ett meddelande som kräver en lösensumma.
Även om budskapet med angriparnas krav är nästan identiskt med meddelandet från NotPetya-operatörerna, har experter lite olika åsikter om sambandet mellan Bad Rabbit och NotPetya. Det har alltså analytiker på Intezer räknat ut källkod skadlig programvara
Hälsningar, kära besökare och gäster på denna blogg! Idag har ett annat ransomware-virus dykt upp i världen med namnet: " Dålig kanin» — « Ond kanin". Detta är den tredje högprofilerade ransomwaren 2017. De tidigare var och (aka NotPetya).
Hittills ska flera ryska medier ha drabbats av denna ransomware - bland dem Interfax och Fontanka. Odessa flygplats rapporterar också om en hackerattack – möjligen relaterad till samma Bad Rabbit.
För fildekryptering kräver angriparna 0,05 bitcoin, vilket med dagens växelkurs motsvarar ungefär 283 dollar eller 15 700 rubel.
Resultaten av Kaspersky Labs forskning tyder på att attacken inte använder utnyttjande. Bad Rabbit sprider sig via infekterade webbplatser: användare laddar ner ett falskt Adobe Flash-installationsprogram, kör det manuellt och infekterar därmed sina datorer.
Enligt Kaspersky Lab undersöker experter denna attack och letar efter sätt att bekämpa den, samt letar efter möjligheten att dekryptera filer som påverkas av ransomware.
De flesta offren för attacken finns i Ryssland. Det är också känt att liknande attacker förekommer i Ukraina, Turkiet och Tyskland, men i mycket mindre antal. Kryptograf Dålig kanin sprider sig genom ett antal infekterade ryska mediasajter.
Kapersky Lab anser att alla tecken tyder på att detta är en riktad attack mot företagsnätverk. Metoder liknande de vi observerade i ExPetr-attacken används, men vi kan inte bekräfta kopplingen till ExPetr.
Det är redan känt att Kaspersky Labs produkter upptäcker en av de skadliga komponenterna med hjälp av en molntjänst Kaspersky Security Nätverk som UDS:DangerousObject.Multi.Generic, och även med använder System Watcher som PDM:Trojan.Win32.Generic.
För att undvika att bli ett offer för den nya "Bad Bunny"-epidemin, " Kaspersky Lab"Vi rekommenderar att du gör följande:
Om du har Kaspersky Anti-Virus installerat, då:
För de som inte har denna produkt:
Ett annat mycket viktigt råd från mig:
Gör alltid det säkerhetskopiering (backup - säkerhetskopiering ) filer som är viktiga för dig. På flyttbara media, in molntjänster! Detta kommer att spara dina nerver, pengar och tid!
Jag önskar att du inte får den här infektionen på din dator. Ha ett rent och säkert internet!
