Virus BadRabbit funkcionira kao nova kripto prijetnja koja je uspjela izazvati pustoš u istočnoj Europi. Djeluje slično kao zloglasni ili ransomware koji je izbio u sajber prostoru prije nekoliko mjeseci. Ako bolje pogledamo, iako postoje sličnosti, IT stručnjaci sumnjaju da je programer možda isti, ali je izvorni kod potpuno drugačiji.
Trenutno se navodi da je broj žrtava premašio 200. Čini se da programeri jako ne vole Rusiju i Ukrajinu, jer su te dvije zemlje najteže pogođene. Glavne mete su Međunarodni aerodrom Odesa u Ukrajini i nekoliko medijskih korporacija u Rusiji, uključujući Interfax, Fontanka.ru i dr. Osim toga, napad se proširio i na susjedne zemlje poput Turske i Bugarske.
Dovedite napad putem lažnih ažuriranja Flash Playera
Adobe Flash Player proizvod je još jednom pokazao uspjeh programera zlonamjernog softvera. Glavna zlonamjerna komponenta programa maskirana je kao lažno ažuriranje Flasha. Malver se učitava kao instalirati_ blic_ igrač. exe fajl sa oštećenih lokacija. BadRabbit ransomware se također može prikriti kao alternativna imena datoteka.
Kao što pokazuje analiza VirusTotal-a, prijetnja se može sakriti u određenom „deinstaleru“. Srećom, većina sigurnosnih aplikacija već detektuje infekciju. Zlonamjerni softver iskorištava određene ranjivosti na SMB serverima, što objašnjava zašto je sposoban infiltrirati servere.
Nakon invazije Bad Rabbit-a, ransomware stvara C:\ Windows\ infpub. dat fajl. Dakle, generiše sledeće fajlove - C:\ Windows\ cscc. dat i C:\ Windows\ dispci. exe... Oni su odgovorni za promjenu MBR postavki. Zanimljivo je da zlonamjerni softver nudi veze do likova iz Game of Thrones. Zlonamjerni softver BadRabbit kreira tri zadatka nazvana po tri zmaja u seriji:
- C: \ Windows \ system32 \ rundll32.exe C: \ Windows \ infpub.dat, # 1 15
- cmd.exe / c schtasks / Delete / F / TN rhaegal
- cmd.exe / c schtasks / Kreiraj / RU SYSTEM / SC ONSTART / TN rhaegal / TR
- cmd.exe / c schtasks / Kreiraj / SC jednom / TN drogon / RU SYSTEM / TR: 00
- C: \ Windows \ AF93.tmp "\
Također koristi uslugu šifriranja otvorenog koda pod nazivom DiskCryptor. Kasnije koristi standardne AE i RSA-2048 metode šifriranja. Dizajnirani su za različite formate datoteka. Kako Petya.A ne dodaje ekstenziju datoteke, ali ometa postavke glavnog pokretačkog zapisa (MBR).
Ponovo pokreće sistem i prikazuje istu poruku o otkupnini kao NotPetya. Također usmjerava žrtve na svoje jedinstveno mjesto plaćanja. On ih ukratko obavještava o zlonamjernom softveru i traži otkupninu od 0,05 BTC. Nakon što se zlonamjerni softver uspješno infiltrira u sistem, koristi Mimikatz da dobije tehničke informacije o drugim uređajima vidljivim na istoj mreži.
Virus BadRabbit nastavlja Petyin zločin. 
Metoda 1 (sigurni način rada)
Odaberite "Safe Mode with Networking" 
Metoda 1 (sigurni način rada)
Odaberite "Omogući siguran način rada s umrežavanjem" 
Odaberite "Safe Mode with Command Prompt" 
Metoda 2. (Oporavak sistema)
Odaberite "Omogući siguran način rada s komandnom linijom" 
Metoda 2. (Oporavak sistema)
Upišite "cd recovery" bez navodnika i pritisnite "Enter" 
Metoda 2. (Oporavak sistema)
Upišite "rstrui.exe" bez navodnika i pritisnite "Enter" 
Metoda 2. (Oporavak sistema)
U prozoru "Vraćanje sistema" koji se pojavi odaberite "Dalje" 
Metoda 2. (Oporavak sistema)
Odaberite svoju tačku vraćanja i kliknite "Dalje" 
Metoda 2. (Oporavak sistema)
Kliknite na "Da" i pokrenite vraćanje sistema ⇦ ⇨
Slajd 1 od 10
Na primjer, ili vam pomoći da identificirate infekciju. Takav alat vam može pomoći u uklanjanju BadRabbit-a. Ispod ćete pronaći uputstva kako da povratite pristup svom računaru. Tada možete ukloniti Bad Rabbit virus.
Uklonite kripto prijetnju BadRabbit
Zbog svojih specifičnih metoda rada, nije iznenađujuće zašto se zlonamjerni softver naziva sljedeći Petya. Ako ste suočeni s ovom cyber nesrećom, slijedite upute u nastavku. Pošto ransomware modifikuje postavke MBR-a, nećete moći odmah da pokrenete računar u Safe Mode. Slijedite upute da resetujete MBR.
Nakon toga, ponovo pokrenite računar u sigurnom načinu rada, ponovo aktivirajte svoje sigurnosne aplikacije i uklonite BadRabbit virus. Nakon skeniranja, normalno pokrenite računar i ponovite postupak. Ovo će potvrditi da je uklanjanje Bad Rabbit-a završeno. Imajte na umu da eliminacija zlonamjernog softvera ne vraća kodirane datoteke. Pokušajte ih vratiti iz sigurnosne kopije. U nastavku ćete naći nekoliko prijedloga.
Na Windows 7:
- Ubacite Windows 7 DVD.
- Pokrenite DVD.
- Odaberite jezik i željene postavke tastature. Kliknite na Dalje.
- Odaberite svoj operativni sistem, označite Koristi alate za oporavak i kliknite Dalje.
- Sačekajte da se pojavi ekran Opcije oporavka sistema i odaberite Komandna linija.
- Unesite sljedeće naredbe i pritisnite Enter nakon svake: bootrec / rebuildbcd, bootrec / fixmbr, andbootrec / fixboot.
- Uklonite instalacioni DVD i ponovo pokrenite računar.
Na Windows 8/10 sistemima:
- Umetnite instalacioni DVD ili USB disk za oporavak.
- Odaberite opciju Popravljanje računara. Rješavanje problema i idi na Komandna linija.
- Unesite jednu po jednu sljedeće naredbe i pritisnite Enter nakon svakog: bootrec / FixMbr, bootrec / FixBoot, bootrec / ScanOs, i bootrec / RebuildBcd.
- Uklonite DVD ili USB oporavak.
- Otkucajte exit i pritisnite Enter.
- Ponovo pokrenite računar.
Virus ransomware poznat kao Bad Rabbit napao je desetine hiljada računara u Ukrajini, Turskoj i Njemačkoj. Ali većina napada pala je na Rusiju. O kakvoj se vrsti virusa radi i kako zaštititi svoj računar, reći ćemo vam u našoj rubrici "Pitanja i odgovori".
Ko je u Rusiji patio od lošeg zeca?
Bad Rabbit ransomware virus počeo se širiti 24. oktobra. Među žrtvama njegovih akcija su novinska agencija Interfax i publikacija Fontanka.ru.
Takođe, kijevski metro i aerodrom u Odesi su stradali od akcija hakera. Tada se saznalo za pokušaj hakovanja sistema nekoliko ruskih banaka iz prvih 20.
Po svemu sudeći, radi se o ciljanom napadu na korporativne mreže, jer se koriste metode slične onima uočenim tokom napada virusa ExPetr.
Novi virus postavlja jedan zahtjev za svakoga: otkupninu od 0,05 bitcoina. U rubljama, to je oko 16 hiljada rubalja. Međutim, on obavještava da je vrijeme za ispunjavanje ovog zahtjeva ograničeno. Za sve je dato nešto više od 40 sati. Nadalje, naknada za otkup će se povećati.
Šta je ovaj virus i kako radi?
Jeste li već shvatili ko stoji iza njegovog širenja?
Još nije moguće saznati ko stoji iza ovog napada. Istraga je samo dovela programere do imena domena.
Antivirusni stručnjaci ističu sličnost novog virusa sa virusom Petya.
Ali, za razliku od prošlih virusa ove godine, ovog puta su hakeri odlučili krenuti lakšim putem, prenosi 1tv.ru.
"Očigledno, kriminalci su očekivali da će u većini kompanija korisnici ažurirati svoje računare nakon ova dva napada, pa su odlučili da isprobaju prilično jeftin alat - društveni inženjering kako bi prvi put relativno neprimijećeno zarazili korisnike", rekao je šef antiteke. -Odjel za istraživanje virusa u laboratoriji Kaspersky Vyacheslav Zakorzhevsky.
Kako zaštititi svoj računar od virusa?
Obavezno napravite sigurnosnu kopiju vašeg sistema. Ako za zaštitu koristite Kaspersky, ESET, Dr.Web ili druge popularne analoge, trebali biste odmah ažurirati baze podataka. Takođe, za Kaspersky je potrebno omogućiti "Nadgledanje aktivnosti" (System Watcher), au ESET-u primijeniti potpise sa ažuriranjem 16295, obavještava talkdevice.
Ako nemate antivirusni softver, blokirajte izvršavanje datoteka C: \ Windows \ infpub.dat i C: \ Windows \ cscc.dat. Ovo se radi putem uređivača grupnih politika ili AppLocker-a za Windows.
Spriječite pokretanje usluge - Windows Management Instrumentation (WMI). Preko desnog dugmeta uđite u svojstva usluge i izaberite režim „Onemogućeno“ u „Tip pokretanja“.
Novi ransomware virus Bad Rabbit napao je u utorak web stranice brojnih ruskih medija. Konkretno, napadnuti su informacioni sistemi agencije Interfaks i server novinskog portala iz Sankt Peterburga Fontanka. U poslijepodnevnim satima, Bad Rabbit je počeo da se širi Ukrajinom - virus je pogodio kompjuterske mreže kijevskog metroa, Ministarstva infrastrukture i međunarodnog aerodroma Odesa. Slični napadi se viđaju u Turskoj i Njemačkoj, ali u znatno manjem broju. TASS objašnjava o kakvoj se vrsti virusa radi, kako se zaštititi od njega i ko može da stoji iza njega.
Bad Rabbit je ransomware virus
Zlonamjerni program inficira računar šifrirajući datoteke na njemu. Da bi im pristupio, virus nudi plaćanje na određenom mjestu na darknetu (za ovo je potreban Tor pretraživač). Za otključavanje svakog računara, hakeri traže da plate 0,05 bitcoina, odnosno otprilike 16 hiljada rubalja ili 280 dolara. Otkupnina se daje 48 sati - nakon ovog perioda iznos se povećava.
Prema laboratoriji kompjuterske forenzike Grupe-IB, virus ransomware je pokušao da napadne ne samo ruske medije, već i ruske banke iz prvih 20, ali nije uspio.
Prema ESET-ovoj laboratoriji za viruse, u napadu je korišten zlonamjerni softver Diskcoder.D, nova modifikacija enkriptora poznata kao Petya. Prethodna verzija Diskcoder-a je raspoređena u junu 2017. U Grupi-IB, da je virus Bad Rabbit mogao napisati autor NotPetya (ovo je ažurirana verzija "Petita" iz 2016.) ili njegov sljedbenik.
„Zlonamjerni softver je distribuiran sa resursa 1dnscontrol.com. Ima IP adresu 5.61.37.209, sljedeći resursi su povezani sa ovim imenom domene i IP adresom: webcheck01.net, webdefense1.net, secure-check.host, firewebmail. com, secureinbox. email, secure-dns1.net", - TASS u Grupi-IB. Kompanija je istakla da su mnogi resursi registrovani za vlasnike ovih stranica, na primjer, takozvani farmaceutski partnerski programi - stranice koje prodaju krivotvorene lijekove putem neželjene pošte. "Moguće je da su korišteni za slanje neželjene pošte i phishinga", dodala je kompanija.
Bad Rabbit je distribuiran pod krinkom ažuriranja Adobe Flash dodatka
Korisnici su samostalno odobrili instalaciju ovog ažuriranja i tako zarazili svoj računar. „Nije bilo nikakvih ranjivosti, korisnici su sami pokrenuli fajl,“ Sergej Nikitin, zamenik šefa laboratorije za kompjutersku forenziku Grupe IB. Kada se nađe na lokalnoj mreži, Bad Rabbit krade prijave i lozinke iz memorije i može samostalno da se instalira na drugim računarima.
Virus je dovoljno lako izbjeći
Kako bi se zaštitile od zaraze Bad Rabbit-om, kompanije trebaju samo blokirati određene domene za korisnike korporativne mreže. Kućni korisnici bi trebali ažurirati Windows i antivirusni proizvod - tada će ova datoteka biti otkrivena kao zlonamjerna.
Korisnici ugrađenog antivirusa operativnog sistema Windows - Windows Defender Antivirus - već iz Bad Rabbit-a. „Nastavljamo istragu, a ako bude potrebno, poduzet ćemo dodatne mjere da zaštitimo naše korisnike“, rekla je TASS sekretarica za štampu korporacije Microsoft u Rusiji Kristina Davidova.
Kaspersky Lab se takođe pripremio kako ne bi postali žrtve nove epidemije. Proizvođač antivirusa savjetovao je svima da naprave backup (backup). Osim toga, kompanija je preporučila blokiranje izvršavanja datoteke c: \ windows \ infpub.dat, C: \ Windows \ cscc.dat i, ako je moguće, zabranu korištenja WMI usluge.
Ministarstvo telekomunikacija i masovnih komunikacija smatra da napad na ruske medije nije bio namjeran
"Uz dužno poštovanje prema velikim medijima, ovo nije kritičan infrastrukturni objekat", - šef Ministarstva telekomunikacija i masovnih komunikacija Nikolaj Nikiforov, dodajući da je malo vjerovatno da će hakeri težiti nekom konkretnom cilju. Prema njegovom mišljenju, ovakvi napadi se, posebno, odnose na kršenje sigurnosnih mjera pri povezivanju na "otvoreni internet". „Najverovatnije, ovaj informacioni sistem (Interfaks – prim. TASS) nije sertifikovan“, sugerisao je ministar.
Glavni talas širenja virusa već je okončan
"Sada možemo govoriti o prestanku aktivnog širenja virusa, treća epidemija je skoro gotova. Čak ni domen preko kojeg se širi Bad Rabbit više ne reagira", - u Grupi-IB. Prema riječima Sergeja Nikitina, mogući su izolirani slučajevi zaraze virusom, posebno u korporativnim mrežama, gdje su prijave i lozinke već ukradene, a virus se može sam instalirati, bez intervencije korisnika. Međutim, već sada možemo govoriti o završetku glavnog vala treće epidemije ransomware virusa 2017. godine.
Podsjetimo, u maju su računari širom svijeta bili napadnuti virusom. Informacije su blokirane na zaraženim računarima, a sajber kriminalci su tražili 600 dolara u bitkoinima da bi deblokirali podatke. U junu je drugi virus pod nazivom Petya napao naftne, telekomunikacione i finansijske kompanije u Rusiji, Ukrajini i nekim zemljama EU. Princip njegovog rada bio je isti: virus je šifrirao informacije i tražio otkupninu u iznosu od 300 dolara u bitcoinima.
Pozdrav vama, dragi posjetioci i gosti ovog bloga! Danas se u svijetu pojavio još jedan ransomware virus pod nazivom: “ Loš zec» — « Zli zec". Ovo je već treći senzacionalni ransomware u 2017. Prethodni su također bili (aka NotPetya).
Bad Rabbit - Ko je već patio i koliko novca je potrebno?
Do sada je, vjerovatno, nekoliko ruskih medija patilo od ovog ransomwarea - među njima Interfax i Fontanka. Također o hakerskom napadu - vjerovatno u vezi sa istim Bad Rabbitom, - javlja aerodrom Odessa.
Za dešifriranje datoteka napadači traže 0,05 bitkoina, što je po trenutnom kursu približno ekvivalentno 283 dolara ili 15.700 rubalja.
Rezultati istraživanja kompanije Kaspersky Lab pokazuju da se u napadu ne koriste eksploatacije. Bad Rabbit se širi kroz zaražene web stranice: korisnici preuzimaju lažni Adobe Flash instalater, ručno ga pokreću i na taj način inficiraju svoje računare.
Prema Kaspersky Lab-u, stručnjaci istražuju ovaj napad i traže načine za borbu protiv njega, kao i način za dešifriranje datoteka zahvaćenih ransomwareom.
Većina žrtava napada nalazi se u Rusiji. Poznato je i da se slični napadi dešavaju u Ukrajini, Turskoj i Njemačkoj, ali u znatno manjem broju. Kriptograf Loš zecširi se kroz niz zaraženih ruskih medijskih stranica.
Kapersky's Laboratory smatra da svi znakovi ukazuju da se radi o ciljanom napadu na korporativne mreže. Korištene metode su slične onima koje smo primijetili u ExPetr napadu, ali ne možemo potvrditi vezu s ExPetr-om.
Već je poznato da proizvodi Kaspersky Lab-a otkrivaju jednu od komponenti zlonamjernog softvera koristeći Kaspersky Security Network cloud servis kao UDS: DangerousObject.Multi.Generic, a također koristeći System Watcher kao PDM: Trojan.Win32.Generic.
Kako se zaštititi od virusa Bad Rabbit?
Da ne postanem žrtvom nove epidemije zlih zečeva, Kaspersky Lab»Preporučujemo da uradite sljedeće:
Ako imate instaliran Kaspersky Anti-Virus, tada:
- Proverite da li su komponente Kaspersky Security Network i System Watcher (aka System Watcher) omogućene u vašem bezbednosnom rešenju. Ako nije, obavezno ga uključite.
Za one koji nemaju ovaj proizvod:
- Blokirajte izvršavanje datoteke c: \ windows \ infpub.dat, C: \ Windows \ cscc.dat. Ovo se može uraditi kroz.
- Onemogućite (ako je moguće) korištenje WMI usluge.
Još jedan veoma važan savjet od mene:
Uvek radi backup (backup - backup ) datoteke koje su vam važne. Na prenosivim medijima, u cloud servisima! To će vam uštedjeti živce, novac i vrijeme!
Volio bih da ovu infekciju ne uhvatite na svom računaru. Čist i siguran internet za vas!
Bad Rabbit ili Diskcoder ransomware D. Pokreće korporativne mreže velikih i srednjih organizacija, blokirajući sve mreže.
Bad Rabbit ili "loš zec" teško se može nazvati pionirom - prethodili su mu ransomware Petya i WannaCry.
Bad Rabbit - kakav virus
Šemu distribucije novog virusa istražili su stručnjaci antivirusne kompanije ESET i otkrili da je Bad Rabbit prodro u kompjutere žrtava pod krinkom ažuriranja Adobe Flasha za pretraživač.
Antivirusna kompanija smatra da je Win32 / Diskcoder.D, nazvan Bad Rabbit, modifikovana verzija Win32 / Diskcoder.C, poznatija kao Petya / NotPetya, koja je u junu pogodila IT sisteme organizacija u nekoliko zemalja. Povezanost između Bad Rabbit i NotPetya je naznačena podudaranjem u kodu.
Napad koristi program Mimikatz, koji presreće prijave i lozinke na zaraženoj mašini. Također u kodu postoje već registrirani logini i lozinke za pokušaje administrativnog pristupa.
Novi zlonamjerni program ispravlja greške u šifriranju datoteka - kod korišten u virusu je dizajniran za šifriranje logičkih diskova, eksternih USB diskova i CD/DVD slika, kao i particija sistemskog diska za pokretanje. Dakle, stručnjaci za dešifriranje će morati potrošiti dosta vremena da otkriju tajnu virusa Bad Rabbit, kažu stručnjaci.
Novi virus, prema stručnjacima, radi prema standardnoj šemi za provajdere šifriranja - upadnuvši u sistem nepoznato odakle, on kodira datoteke, za čije dešifriranje hakeri traže otkupninu u bitcoinima.
Otključavanje jednog računara koštaće 0,05 bitkoina, što je oko 283 dolara po trenutnom kursu. U slučaju plaćanja otkupnine, prevaranti će poslati posebnu šifru ključa koja će vratiti normalan rad sistema i neće izgubiti sve.
Ako korisnik ne prenese sredstva u roku od 48 sati, otkupnina će rasti.
Ali, vrijedi zapamtiti da plaćanje otkupnine može biti zamka koja ne garantuje da će računar biti otključan.
ESET napominje da trenutno ne postoji komunikacija između zlonamjernog softvera i udaljenog servera.
Virus je najviše pogodio ruske korisnike, a u manjoj mjeri kompanije u Njemačkoj, Turskoj i Ukrajini. Širenje se odvijalo putem zaraženih medija. Poznate zaražene stranice su već blokirane.
ESET vjeruje da se statistika napada usko podudara sa geografskom distribucijom web lokacija koje sadrže zlonamjerni JavaScript.
Kako se zaštititi
Stručnjaci kompanije Group-IB, koja se bavi prevencijom i istraživanjem cyber kriminala, dali su preporuke kako da se zaštitite od virusa Bad Rabbit.
Konkretno, da biste se zaštitili od mrežne štetočine, potrebno je da na svom računaru kreirate datoteku C: \ windows \ infpub.dat iu administrativnom delu postavite prava samo za čitanje za nju.
Ovom radnjom će se blokirati izvršavanje datoteke, a svi dokumenti koji pristižu izvana neće biti šifrirani, čak i ako se zaraze. Potrebno je napraviti rezervnu kopiju svih vrijednih podataka kako se u slučaju infekcije ne bi izgubili.
Stručnjaci Grupe-IB također savjetuju blokiranje ip adresa i imena domena sa kojih su distribuirani zlonamjerni fajlovi i postavljanje blokatora iskačućih prozora na korisnike.
Takođe se preporučuje brzo izolovanje računara u sistemu za otkrivanje upada. Korisnici računara takođe treba da provere relevantnost i integritet rezervnih kopija ključnih mrežnih čvorova i ažuriraju svoje operativne sisteme i bezbednosne sisteme.
"U smislu politike lozinki: koristite postavke grupnih politika da spriječite pohranjivanje lozinki u LSA Dump u čistom tekstu. Promijenite sve lozinke u složene", dodala je kompanija.
Prethodnici
U maju 2017. virus WannaCry proširio se na najmanje 150 zemalja širom svijeta. Šifrirao je informacije i tražio da plati otkupninu, prema različitim izvorima, od 300 do 600 dolara.
Više od 200 hiljada korisnika je patilo od toga. Prema jednoj od verzija, njeni kreatori su kao osnovu uzeli američki NSA malver Eternal Blue.
Globalni napad Petya ransomware virusa 27. juna pogodio je IT sisteme kompanija u nekoliko zemalja širom svijeta, najviše pogađajući Ukrajinu.
Napadnuti su kompjuteri naftnih, energetskih, telekomunikacijskih, farmaceutskih kompanija i vladinih agencija. Sajber policija Ukrajine navela je da je napad ransomware-a izveden preko programa M.E.doc.
Materijal pripremljen na bazi otvorenih izvora
