Приветствую Вас, дорогие посетители и гости данного блога! Сегодня в мире появился очередной вирус-шифровальщик по имени: «Bad Rabbit » — «Злобный кролик «. Это уже третий нашумевший шифровальщик за 2017 год. Предыдущие были и (он же NotPetya).
Bad Rabbit — Кто уже пострадал и много ли требует денег?
Пока что предположительно от этого шифровальщика пострадали несколько российских медиа - среди них Интерфакс и Фонтанка. Также о хакерской атаке - возможно, связанной с тем же Bad Rabbit, - сообщает аэропорт Одессы.
За расшифровку файлов злоумышленники требуют 0,05 биткойна, что по современному курсу примерно эквивалентно 283 долларам или 15 700 рублям.
Результаты исследования «Лаборатории Касперского» говорят о том, что в атаке не используются эксплойты. Bad Rabbit распространяется через зараженные веб-сайты: пользователи скачивают фальшивый установщик Adobe Flash, вручную запускают его и тем самым заражают свои компьютеры.
Как сообщает «Лаборатория Касперского» — эксперты расследуют эту атаку и ищут способы борьбы с ним, а так же ищут возможность дешифровки файлов, пострадавших от шифровальщика.
Большая часть пострадавших от атаки находятся в России. Так же известно, что похожие атаки происходят в Украине, Турции и Германии, но в гораздо меньшем количестве. Шифровальщик Bad Rabbit распространяется через ряд заражённых сайтов российских СМИ.
«Лаборатория Каперского» считает, что все признаки указывают на то, что это целенаправленная атака на корпоративные сети. Используются методы, похожие на те, что мы наблюдали в атаке ExPetr, однако связь с ExPetr мы подтвердить не можем.
Уже известно, что продукты «Лаборатории Касперского» детектируют один из компонентов зловреда с помощью облачного сервиса Kaspersky Security Network как UDS:DangerousObject.Multi.Generic, а также с помощью System Watcher как PDM:Trojan.Win32.Generic.
Как защитить себя от вируса Bad Rabbit?
Чтобы не стать жертвой новой эпидемии «Плохого кролика», «Лаборатория Касперского » рекомендуем сделать следующее:
Если у вас установлен Антивирус Касперского, то:
- Проверьте, включены ли в вашем защитном решении компоненты Kaspersky Security Network и «Мониторинг активности» (он же System Watcher). Если нет - обязательно включите.
Для тех, у кого нет данного продукта:
- Заблокируйте исполнение файла c:\windows\infpub.dat, C:\Windows\cscc.dat. Это можно сделать через .
- Запретите (если это возможно) использование сервиса WMI.
Еще очень важный совет от меня:
Всегда делайте backup (бекап — резервная копия ) важных Вам файлов. На съемном носителе, в облачных сервисах! Это сбережет ваши нервы, деньги и время!
Желаю вам не подхватит эту заразу к себе на ПК. Чистого и безопасного Вам интернета!
Новый вирус-шифровальщик Bad Rabbit ("Плохой кролик") во вторник атаковал сайты ряда российских СМИ. В частности, атакам подверглись информационные системы агентства "Интерфакс", а также сервер петербургского новостного портала "Фонтанка". После полудня Bad Rabbit начал распространяться на Украине - вирус поразил компьютерные сети Киевского метрополитена, министерства инфраструктуры, международного аэропорта Одессы. Похожие атаки наблюдаются в Турции и Германии, хотя и в значительно меньшем количестве. ТАСС объясняет, что это за вирус, как от него уберечься и кто может за ним стоять.
Bad Rabbit - это вирус-шифровальщик
Вредоносная программа заражает компьютер, шифруя на нем файлы. Для получения доступа к ним вирус предлагает совершить платеж на указанном сайте в даркнете (для этого потребуется браузер Tor). За разблокировку каждого компьютера хакеры требуют заплатить 0,05 биткойна, то есть примерно 16 тыс. рублей или $280. На выкуп отводится 48 часов — после истечения этого срока сумма увеличивается.
По лаборатории компьютерной криминалистики компании Group-IB, вирус-шифровальщик пытался атаковать не только российские СМИ, но и российские банки из топ-20, однако ему это не удалось.
По вирусной лаборатории ESET, в атаке использовалось вредоносное программное обеспечение Diskcoder.D — новая модификация шифратора, известного как Petya. Предыдущая версия Diskcoder была задействована в в июне 2017 года. В Group-IB , что вирус Bad Rabbit мог написать автор NotPetya (это обновленная версия "Пети" 2016 года) или его последователь.
"Раздача вредоносного ПО проводилась с ресурса 1dnscontrol.com. Он имеет IP 5.61.37.209, с этим доменным именем и IP-адресом связаны следующие ресурсы: webcheck01.net, webdefense1.net, secure-check.host, firewebmail.com, secureinbox.email, secure-dns1.net", — ТАСС в Group-IB. В компании отметили, что на владельцев этих сайтов зарегистрировано множество ресурсов, например, так называемые фарм-партнерки — сайты, которые через спам продают контрафактные медикаменты. "Не исключено, что они использовались для рассылки спама, фишинга", — добавили в компании.
Bad Rabbit распространялся под видом обновления плагина Adobe Flash
Пользователи самостоятельно одобряли установку этого обновления и таким образом заражали свой компьютер. "Никаких уязвимостей вообще не было, пользователи сами запускали файл", — замглавы лаборатории компьютерной криминалистики Group-IB Сергей Никитин. Попав в локальную сеть, Bad Rabbit крадет из памяти логины и пароли и может самостоятельно устанавливаться на другие компьютеры.
Вируса достаточно легко избежать
Чтобы защититься от заражения Bad Rabbit, компаниям достаточно заблокировать указанные домены для пользователей корпоративной сети. Домашним пользователям следует обновить Windows и антивирусный продукт — тогда этот файл будет детектироваться как вредоносный.
Пользователи встроенного антивируса операционной системы Windows — Windows Defender Antivirus — уже от Bad Rabbit. "Мы продолжаем расследование, и при необходимости мы примем дополнительные меры по защите наших пользователей", — ТАСС пресс-секретарь корпорации Microsoft в России Кристина Давыдова.
"Лаборатория Касперского" также подготовила для того, чтобы не стать жертвами новой эпидемии. Производитель антивирусов посоветовал всем сделать бэкап (резервное копирование). Кроме того, компания рекомендовала заблокировать исполнение файла c:\windows\infpub.dat, C:\Windows\cscc.dat, а также, если возможно, запретить использование сервиса WMI.
Минкомсвязи считает, что атака на российские СМИ не была целенаправленной
"При всем уважении к большим СМИ, это не критический объект инфраструктуры", — глава Минкомсвязи Николай Никифоров, добавив, что какую-то определенную цель хакеры вряд ли преследовали. По его мнению, такие атаки, в частности, связаны с нарушением мер безопасности при подключении к "открытому интернету". "Скорее всего, эта информационная система ("Интерфакса" — прим. ТАСС) не сертифицирована", — предположил министр.
Основная волна распространения вируса уже завершилась
"Сейчас можно говорить о прекращении активного распространения вируса, третья эпидемия практически завершилась. Даже домен, через который распространялся Bad Rabbit, уже не отвечает", — в Group-IB. По словам Сергея Никитина, возможны единичные случаи заражения вирусом, в частности в корпоративных сетях, где уже были украдены логины и пароли, и вирус может установиться сам, без участия пользователя. Однако уже можно говорить о завершении основной волны третьей эпидемии вируса-шифровальщика в 2017 году.
Напомним, что в мае компьютеры по всему миру атаковал вирус . На зараженных компьютерах блокировалась информация, а за разблокировку данных злоумышленники требовали $600 в биткойнах. В июне другой вирус под названием Petya атаковал нефтяные, телекоммуникационные и финансовые компании России, Украины и некоторые страны ЕС. Принцип его действия был таким же: вирус шифровал информацию и требовал выкуп в размере $300 в биткойнах.
24 октября многих пользователей в Украине и России «навестил пасхальный кролик». Только он принес не подарки и радость, а огромное количество проблем. Да и назвали его соответственно - Bad Rabbit (или как пишут некоторые специалисты - BadRabbit). Именно под таким названием начал распространяться очередной вирус-шифровальщик.
Кто пострадал?
Первые сведения об атаке появились 24 октября сутра. Пострадали многие госкомпании в Украине (Киевский метрополитен, Одесский аэропорт) и России, а также некоторые СМИ. Также атакам подверглись и финучреждения, но злоумышленникам не удалось нанести им вред. В свою очередь, представители компании ESET сообщили, что проблемы возникли не только в России и Украине, но также в Турции, Японии и Болгарии.
После блокировки ПК малварь сообщала пользователю, что за разблокировку данных он должен перевести 0,05 биткоина (эквивалентно 280 USD) на счет злоумышленников.
Как распространяется?
Точных данных о способе распространения зловреда не было ничего известно. В компании Group-IB отметили, что атака готовилась несколько дней (хотя по мнению представителя «Лаборатории Касперского» Костина Райю подготовка заняла намного больше времени).
Однако, уже сегодня известно, что зловред распространялся под видом обычных обновлений Adobe Flash, не задействуя брешь в SMB, которой ранее пользовались шифровальщики WannaCry и NotPetya. Но и тут мнения специалистов расходятся.
В Group-IB считают , что Bad Rabbit - модификация NotPetya, в которой хакерам удалось исправить ошибки в алгоритме шифрования. В то же время представители Intezer отмечают, что вредоносный код идентичен только на 13%.
В ESET и «Лаборатории Касперского» заняли достаточно интересную позицию: в компаниях не исключают, что «злой кролик» может быть последователем NotPetya, но прямых заявлений по этому поводу не делают.
Как защитить компьютер?
На данный момент распространение шифровальщика уже прекращено, но специалисты отмечают, что стоит позаботиться о защите своих ПК от заражения. Для этого создайте файлы:
- C:\Windows\infpub.dat и C:\Windows\cscc.dat;
- снимите с них все разрешения на выполнение (заблокируйте).
I can confirm — Vaccination for
Во вторник атаке вируса-вымогателя Bad Rabbit подверглись компьютеры в РФ, на Украине, в Турции и Германии. Вирус удалось быстро блокировать, однако специалисты по компьютерной безопасности предупреждают о приближении нового "киберурагана".
Вирусные атаки начались в середине дня на Украине: вирус поразил компьютерные сети Киевского метрополитена, министерства инфраструктуры, международного аэропорта Одессы. Bad Rabbit шифровал файлы на компьютерах и требовал выкуп в размере 0,05 биткойна.
Чуть позже атакам подверглись российское информационное агентство "Интерфакс" и сервер петербургского новостного портала "Фонтанка", в результате чего эти два СМИ были вынуждены остановить работу. По данным компании Group-IB, работающей в сфере расследования киберпреступлений, во вторник с 13:00 до 15:00 мск Bad Rabbit пытался также атаковать крупные российские банки, но безуспешно. Компания ESET сообщила, что вирусные атаки затронули пользователей из Болгарии, Турции и Японии.
Bad Rabbit распространялся под видом фальшивых обновлений и установщиков Adobe Flash. При этом фальшивки были подписаны поддельными сертификатами, имитирующими сертификаты компании Symantec.
Спустя всего несколько часов после начала атаки анализ вируса осуществили едва ли не все крупнейшие компании в сфере интернет-безопасности. Специалисты ESET, Proofpoint и "Лаборатории Касперского" выяснили, что Bad Rabbit распространялся под видом фальшивых обновлений и установщиков Adobe Flash. При этом фальшивки были подписаны поддельными сертификатами, имитирующими сертификаты компании Symantec.
Bad Rabbit распространяли сразу несколько взломанных сайтов, в основном принадлежащих СМИ. Установлено также, что атака готовилась несколько дней: последние обновления программы были сделаны еще 19 октября 2017 года.
Наследник "Пети"
Это третья глобальная атака вирусов-вымогателей в этом году. 12 мая вирус WannaCry заразил более 300 тысяч компьютеров в 150 странах мира. WannaCry шифровал файлы пользователей, за расшифровку вымогатели требовали заплатить 600 долларов в криптовалюте биткойн. От вирусных атак, в частности, пострадали Национальная система здравоохранения Великобритании, испанская телекоммуникационная компания Telefonica, российские МЧС, МВД, РЖД, Сбербанк, "Мегафон" и "Вымпелком".
Общий ущерб от WannaCry превысил 1 млрд долларов. При этом, по данным американских экспертов, вымогатели получили всего 302 платежа на общую сумму 116,5 тысяч долларов.
Специалисты установили, что WannaCry был сделан на основе хакерской программы EternalBlue, созданной в АНБ США и украденной хакерами. Президент Microsoft Брэд Смит в связи с этим заявил, что массовая атака вируса WannaCry стала возможной из-за того, что ЦРУ и Агентство национальной безопасности (АНБ) США в своих интересах собирают данные об уязвимостях в программном обеспечении.
Атака WannaCry выявляет тревожную связь между двумя самыми серьезными формами киберугроз − действиями государств и преступных групп.
Брэд Смит
президент Microsoft
27 июня 2017 года начались атаки вируса-шифровальщика NotPetya. Вирус распространялся через ссылки в сообщениях электронной почты и блокировал доступ пользователя к жесткому диску компьютера. Как и в случае с WannaCry, хакеры требовали выкуп за восстановление работоспособности компьютера, но на этот раз только 300 долларов в биткойнах.
От атаки NotPetya пострадали десятки российских компаний, в том числе "Роснефть", "Башнефть", "Евраз", российские офисы компаний Mars, Mondeles и Nivea. На Украине вирусной атаке подверглись компьютеры "Киевэнерго", "Укрэнерго", Ощадбанка, концерна "Антонов" и Чернобыльской АЭС. Как и WannaCry, NotPetya был создан на основе инструмента EternalBlue, разработанного в АНБ США.
По мнению экспертов, автором нового вируса-шифровальщика BadRabbit могли быть тот же хакер или группа хакеров, которые написали NotPetya: в коде обоих вирусов обнаружены совпадающие фрагменты. Аналитики компании Intezer подсчитали, что исходный код двух вирусов совпадает на 13%.
Bad Rabbit является модифицированной версией NotPetya с исправленными ошибками в алгоритме шифрования.
Компания Group-IB
Специалисты ESET и "Лаборатории Касперского" также допускают, что Bad Rabbit может являться прямым "наследником" NotPetya, однако отмечают, что в "Плохом кролике" в отличие от двух предыдущих вирусов-вымогателей не используется инструмент EternalBlue.
Как защититься от "Плохого кролика"
Специалисты по интернет-безопасности сообщают, что распространение Bad Rabbit уже прекращено, однако советуют предпринять меры безопасности. Group-IB дала в своем Telegram-канале рекомендации, что делать, чтобы вирус не смог зашифровать ваши файлы.
Необходимо создать файл C:\windows\infpub.dat и поставить ему права "только для чтения" <...> После этого даже в случае заражения файлы не будут зашифрованы.
Компания Group-IB
специализируется на расследованиях киберпреступлений
Чтобы избежать масштабного заражения, необходимо оперативно изолировать компьютеры, которые были замечены в пересылке подобных вредоносных файлов, отметили в компании. Кроме того, пользователям следует убедиться в актуальности и целостности резервных копий ключевых сетевых узлов.
Также рекомендуется обновить операционные системы и системы безопасности и при этом заблокировать IP-адреса и доменные имена, с которых происходило распространение вредоносных файлов. Кроме того, Group-IB рекомендует сменить все пароли на более сложные и включить блокировку всплывающих окон.
Худшее, возможно, впереди
За два дня до атаки "Плохого кролика" ведущая норвежская газета Dagbladet опубликовала большую статью, в которой предупреждала о приближении "кибершторма невиданной силы, который может отключить мировой интернет". "Наши исследования показывают, что сейчас затишье перед мощнейшей бурей. Надвигается киберураган", – цитирует Dagbladet сообщение израильской компании по защите от вирусов Check Point.
Согласно данным Check Point, неизвестные хакеры в настоящее время создают гигантскую бот-сеть Reaper, заражая такие подключенные к интернету устройства, как роутеры и даже фотокамеры. Специалисты компании подчеркивают, что в данном случае хакеры сосредоточились на "интернете вещей" − подключенных к Мировой паутине "умных" устройствах (от лампочек, дверных замков, видеокамер наблюдения до холодильников и кофеварок), которыми можно управлять через мобильные приложения или интернет.
Большая часть таких устройств (подключенных к интернету лампочек, видеокамер и т. п.) имеет громадные уязвимости. Товары обычно доставляются с фамилией пользователя и стандартным паролем, а программное обеспечение редко обновляется. Поэтому они очень уязвимы для хакерских атак.
специализируется на защите от вирусов
Специалисты компании в конце сентября обнаружили, что огромное количество подобных объектов было "завербовано" хакерами, чтобы распространить вирус на другие вещи. Таким образом, вирус распространяется все быстрее и уже заразил миллионы устройств во всем мире, включая большинство роутеров D-Link, Netgear и Linksys, а также соединенные с интернетом камеры наблюдения таких компаний, как Vacron, GoAhead и AVTech.
Бот-сеть Reaper пока не проявляла какой-либо активности, но китайская компания по защите от вирусов Qihoo 360 предупреждает, что вирус может активироваться в любой момент, результатом чего станет отключение больших участков интернета.
Вирус-шифровальщик, известный как Bad Rabbit, атаковал десятки тысяч компьютеров на Украине, в Турции и Германии. Но больше всего атак пришлось на Россию. Что это за вирус и как защитить свой компьютер, рассказываем в нашей рубрике "Вопрос-ответ".
Кто пострадал в России от Bad Rabbit?
Вирус-шифровальщик Bad Rabbit начал распространяться 24 октября. В числе пострадавших от его действия значатся информагентство "Интерфакс", издание "Фонтанка.ру".
Также от действий хакеров пострадали метрополитен Киева и аэропорт Одессы. После стало известно о попытке взлома системы нескольких российских банков из топ-20.
По всем признакам это целенаправленная атака на корпоративные сети, поскольку используются методы, похожие на те, что наблюдались при атаке вируса ExPetr.
Новый вирус всем предъявляет одно требование: выкуп 0,05 биткоина. В пересчете на рубли это около 16 тысяч рублей. При этом он сообщает, что время на исполнение этого требования ограничено. На все про все дается чуть больше 40 часов. Далее плата за выкуп повысится.
Что это за вирус и как он работает?
Удалось уже выяснить, кто стоит за его распространением?
Выяснить, кто стоит за этой атакой, пока не удалось. Расследование только привело программистов к доменному имени.
Специалисты антивирусных компаний отмечают сходство нового вируса с вирусом Petya.
Но, в отличие от прошлых вирусов этого года, в этот раз хакеры решили пойти простым путем, сообщает 1tv.ru .
"По-видимому, преступники ожидали, что в большинстве компаний пользователи обновят свои компьютеры после двух этих атак, и решили испробовать достаточно дешевое средство - социальную инженерию, чтобы первое время относительно незаметно заражать пользователей", – сообщил руководитель отдела антивирусных исследований "Лаборатории Касперского" Вячеслав Закоржевский.
Как защитить свой компьютер от вируса?
Обязательно сделайте резервную копию вашей системы. Если вы используете для защиты Касперский, ESET, Dr.Web либо другие популярные аналоги, следует оперативно обновить базы данных. Также для Касперского необходимо включить "Мониторинг активности" (System Watcher), а в ESET применить сигнатуры с обновлением 16295, информирует talkdevice .
Если у вас нет антивирусников, заблокируйте исполнение файлов C:\Windows\infpub.dat и C:\Windows\cscc.dat. Делается это через редактор групповых политик либо программу AppLocker для Windows.
Запретите выполнение службы - Windows Management Instrumentation (WMI). Через правую кнопку войдите в свойства службы и выберите в "Тип запуска" режим "Отключена".
