Virus ransomware poznat kao Bad Rabbit napao je desetine hiljada računara u Ukrajini, Turskoj i Njemačkoj. Ali većina napada pala je na Rusiju. O kakvoj se vrsti virusa radi i kako zaštititi svoj računar, reći ćemo vam u našoj rubrici "Pitanja i odgovori".
Ko je u Rusiji patio od lošeg zeca?
Bad Rabbit ransomware virus počeo se širiti 24. oktobra. Među žrtvama njegovih akcija su novinska agencija Interfax i publikacija Fontanka.ru.
Takođe, kijevski metro i aerodrom u Odesi su stradali od akcija hakera. Tada se saznalo za pokušaj hakovanja sistema nekoliko ruskih banaka iz prvih 20.
Po svemu sudeći, radi se o ciljanom napadu na korporativne mreže, jer se koriste metode slične onima uočenim tokom napada virusa ExPetr.
Novi virus postavlja jedan zahtjev za svakoga: otkupninu od 0,05 bitcoina. U rubljama, to je oko 16 hiljada rubalja. Međutim, on obavještava da je vrijeme za ispunjavanje ovog zahtjeva ograničeno. Za sve je dato nešto više od 40 sati. Nadalje, naknada za otkup će se povećati.
Šta je ovaj virus i kako funkcioniše?
Jeste li već shvatili ko stoji iza njegovog širenja?
Još nije moguće saznati ko stoji iza ovog napada. Istraga je samo dovela programere do imena domena.
Antivirusni stručnjaci ističu sličnost novog virusa sa virusom Petya.
Ali, za razliku od prošlih virusa ove godine, ovog puta su hakeri odlučili krenuti lakšim putem, prenosi 1tv.ru.
"Očigledno su kriminalci očekivali da će u većini kompanija korisnici ažurirati svoje računare nakon ova dva napada, te su odlučili isprobati prilično jeftin alat - društveni inženjering kako bi po prvi put relativno neprimijećeno zarazili korisnike", rekao je šef antiteke. -Odjel za istraživanje virusa u laboratoriji Kaspersky Vyacheslav Zakorzhevsky.
Kako zaštititi svoj računar od virusa?
Obavezno napravite sigurnosnu kopiju vašeg sistema. Ako za zaštitu koristite Kaspersky, ESET, Dr.Web ili druge popularne analoge, trebali biste odmah ažurirati baze podataka. Takođe, za Kaspersky je potrebno omogućiti "Nadgledanje aktivnosti" (System Watcher), au ESET-u primijeniti potpise sa ažuriranjem 16295, obavještava talkdevice.
Ako nemate antivirusni softver, blokirajte izvršavanje datoteka C: \ Windows \ infpub.dat i C: \ Windows \ cscc.dat. Ovo se radi putem uređivača grupnih politika ili AppLocker-a za Windows.
Sprečavanje pokretanja usluge - Windows Management Instrumentation (WMI). Preko desnog dugmeta uđite u svojstva usluge i izaberite režim „Onemogućeno“ u „Tip pokretanja“.
Zdravo svima! Baš neki dan, u Rusiji i Ukrajini, Turskoj, Njemačkoj i Bugarskoj počeo je hakerski napad velikih razmjera novog Bad Rabbit ransomware virusa, zvanog Diskcoder.D. Ransomware trenutno napada korporativne mreže velikih i srednjih organizacija, blokirajući sve mreže. Danas ćemo vam reći šta je ovaj trojanac i kako se možete zaštititi od njega.
Kakav virus?
Bad Rabbit (Bad Rabbit) radi prema standardnoj shemi za ransomware: ulazeći u sistem, on kodira datoteke, za čije dešifriranje hakeri zahtijevaju 0,05 bitcoina, što je po tečaju 283 dolara (ili 15.700 rubalja). Ovo se prijavljuje u posebnom prozoru, gdje zapravo trebate unijeti kupljeni ključ. Prijetnja je trojanskog tipa Trojan.Win32.Generic, međutim, sadrži i druge komponente kao npr DangerousObject.Multi.Generic i Ransom .Win 32.Gen.ftl.
Bad Rabbit - novi ransomware virus
Još uvijek je teško u potpunosti ući u trag svim izvorima zaraze, ali stručnjaci se sada bave time. Pretpostavlja se da prijetnja ulazi u PC preko zaraženih lokacija na kojima je konfigurisano preusmeravanje, ili pod maskom lažnih ažuriranja za popularne dodatke kao što je Adobe Flash. Lista takvih lokacija se za sada samo širi.
Da li se virus može ukloniti i kako se mogu zaštititi?
Odmah treba reći da su u ovom trenutku sve antivirusne laboratorije počele analizirati ovaj trojanac. Ako posebno tražite informacije o tome kako ukloniti virus, onda on, kao takav, nije. Odbacimo odmah standardni savjet - napravite sigurnosnu kopiju sistema, povratnu tačku, izbrišite takve i takve datoteke. Ako nemate nijedno spremanje, onda sve ostalo ne radi, hakeri su se setili takvih trenutaka, zbog specifikacije virusa.
Mislim da će za kratko vrijeme biti distribuirani dekorateri koje su amateri napravili za Bad Rabbit - da li se ti programi koriste ili ne, vaša je stvar. Kao što je pokazao prošli Petya ransomware, ovo pomaže malo ljudi.
Ali možete spriječiti prijetnju i ukloniti je kada pokušate ući u PC. Na izvještaje o izbijanju virusa prve su odgovorile laboratorije Kaspersky i ESET, koje već blokiraju pokušaje prodora. Preglednik Google Chrome također je počeo identificirati zaražene resurse i upozoravati na njihovu opasnost. Evo šta trebate učiniti da se zaštitite od BadRabbit-a na prvom mjestu:
- Ako za zaštitu koristite Kaspersky, ESET, Dr.Web ili druge popularne analoge, tada morate ažurirati baze podataka. Takođe, za Kaspersky morate omogućiti System Watcher, a u ESET-u primijeniti potpise s ažuriranjem 16295.
- Ako ne koristite antivirusni softver, morate blokirati izvršavanje datoteka C: \ Windows \ infpub.dat i C: \ Windows \ cscc.dat... Ovo se radi putem uređivača grupnih politika ili AppLocker-a za Windows.
- Obavezno napravite sigurnosnu kopiju vašeg sistema. U teoriji, kopija bi uvijek trebala biti pohranjena na plug-in mediju. Evo kratkog video tutorijala o tome kako ga kreirati.
Preporučljivo je zabraniti izvršenje usluge - Windows upravljačka instrumentacija (WMI)... U prvih deset se zove usluga Windows Management Instrumentation... Desnim dugmetom unesite svojstva usluge i izaberite je "Vrsta pokretanja" način rada "Onemogućeno".
Zaključak
U zaključku, vrijedi reći najvažniju stvar - ne biste trebali platiti otkupninu, bez obzira što je kod vas šifrirano. Takve radnje samo podstiču prevarante da kreiraju nove virusne napade. Pratite forume antivirusnih kompanija, za koje se nadam da će uskoro istražiti virus Bad Rabbit i pronaći efikasnu pilulu. Obavezno slijedite gore navedene tačke kako biste zaštitili svoj OS. U slučaju poteškoća u njihovoj implementaciji, odjavite se u komentarima.
Prema Kaspersky Lab-u, to može biti preteča trećeg talasa ransomware virusa. Prve dvije bile su senzacionalne WannaCry i Petya (aka NotPetya). Stručnjaci za kibernetičku sigurnost rekli su za MIR 24 o pojavi novog mrežnog zlonamjernog softvera i kako se odbraniti od njegovog snažnog napada.
Većina žrtava napada Bad Rabbit nalazi se u Rusiji. Znatno ih je manje na teritoriji Ukrajine, Turske i Njemačke, istakao je šef odjela za istraživanje antivirusa u Kaspersky Lab. Vjačeslav Zakorževski... Vjerovatno druge najaktivnije zemlje bile su one u kojima korisnici aktivno prate ruske internetske resurse.
Kada zlonamjerni softver inficira računar, on šifrira datoteke na njemu. Širi se pomoću web saobraćaja sa hakovanih internet resursa, među kojima su uglavnom bili sajtovi federalnih ruskih medija, kao i kompjuteri i serveri kijevskog metroa, ukrajinskog Ministarstva infrastrukture i Međunarodnog aerodroma Odesa. Zabilježen je i neuspješan pokušaj napada na ruske banke iz prvih 20.
Da su Fontanka, Interfaks i niz drugih publikacija napali Bad Rabbit jučer je objavila Grupa-IB, specijalizirana za informatičku sigurnost. Analiza virusnog koda je to pokazala Bad Rabbit je povezan sa Not Petya ransomwareom, koji je u junu ove godine napao energetske, telekomunikacione i finansijske kompanije u Ukrajini.
Napad se pripremao nekoliko dana i, uprkos razmjerima zaraze, ransomware je od žrtava napada tražio relativno male iznose - 0,05 bitcoina (ovo je oko 283 dolara ili 15.700 rubalja). Otkupnina će imati 48 sati. Nakon isteka ovog perioda, iznos se povećava.
Stručnjaci Grupe-IB smatraju da hakeri, najvjerovatnije, nemaju namjeru da zarađuju. Njihov verovatni cilj je testiranje nivoa zaštite kritičnih infrastrukturnih mreža preduzeća, vladinih službi i privatnih kompanija.
Lako je postati žrtva napada
Kada korisnik posjeti zaraženu stranicu, zlonamjerni kod prenosi informacije o njoj udaljenom serveru. Zatim se pojavljuje iskačući prozor u kojem se traži da preuzmete ažuriranje za Flash Player, što je lažno. Ako je korisnik odobrio operaciju "Instaliraj / Instaliraj", datoteka će biti preuzeta na računar, koji će zauzvrat pokrenuti Win32 / Filecoder.D enkriptor u sistemu. Nadalje, pristup dokumentima će biti blokiran, a na ekranu će se pojaviti poruka o otkupnini.
Virus Bad Rabbit skenira mrežu u potrazi za otvorenim mrežnim resursima, nakon čega pokreće alat za prikupljanje akreditiva na zaraženoj mašini, a ovo "ponašanje" se razlikuje od svojih prethodnika.
Stručnjaci međunarodnog proizvođača antivirusnog softvera Eset NOD 32 potvrdili su da je Bad Rabbit nova modifikacija Petya virusa, čiji je princip bio isti - virus je šifrirao informacije i zahtijevao otkupninu u bitcoinima (iznos je bio usporediv s Bad Rabbitom - 300 dolara). Novi zlonamjerni softver popravlja greške u šifriranju datoteka. Kod koji se koristi u virusu je dizajniran za šifriranje logičkih diskova, eksternih USB diskova i CD/DVD slika, kao i particija sistemskog diska za pokretanje.
Govoreći o publici koja je na meti napada Bad Rabbit-a, vođa podrške prodaje ESET Russia Vitaly Zemskikh navodi da se 65% napada koje su zaustavili antivirusni proizvodi kompanije dogodilo u Rusiji. Inače, geografija novog virusa izgleda ovako:
Ukrajina - 12,2%
Bugarska - 10,2%
Turska - 6,4%
Japan - 3,8%
ostali - 2,4%
“Ransomware koristi dobro poznati softver otvorenog koda pod nazivom DiskCryptor za šifriranje diskova žrtve. Ekran sa zaključanom porukom koji korisnik vidi je skoro identičan zaključanim ekranima Petya i NotPetya. Međutim, ovo je jedina sličnost koju smo do sada uočili između ova dva zlonamjerna softvera. U svim ostalim aspektima, BadRabbit je potpuno nova i jedinstvena vrsta ransomwarea“, kaže CTO kompanije Check Point Software Technologies. Nikita Durov.
Kako se zaštititi od lošeg zeca?
Vlasnici operativnih sistema koji nisu Windows mogu odahnuti, jer novi ransomware virus čini ranjivim samo računare sa ovom "osom".
Kako bi se zaštitili od mrežnog zlonamjernog softvera, stručnjaci preporučuju kreiranje datoteke C: \ windows \ infpub.dat na svom računaru, uz postavljanje prava samo za čitanje za nju - to je lako učiniti u odjeljku administracije. Tako ćete blokirati izvršavanje datoteke, a svi dokumenti koji dolaze izvana neće biti šifrirani čak i ako se zaraze. Kako ne biste izgubili vrijedne podatke u slučaju zaraze virusom, napravite sigurnosnu kopiju (backup) sada. I, naravno, vrijedi zapamtiti da je plaćanje otkupnine zamka koja ne garantuje da ćete otključati svoj računar.
Podsjetimo, virus se u maju ove godine proširio na najmanje 150 zemalja svijeta. Šifrirao je informacije i tražio da plati otkupninu, prema različitim izvorima, od 300 do 600 dolara. Više od 200 hiljada korisnika je patilo od toga. Prema jednoj od verzija, njeni kreatori su kao osnovu uzeli američki NSA malver Eternal Blue.
Alla Smirnova razgovarala je sa stručnjacima
Virus ransomware-a Bad Rabbit, koji su dan ranije napali ruski mediji, pokušao je napasti ruske banke iz prvih 20, rekli su za Forbes u Grupi-IB, koja istražuje i sprječava kibernetičke zločine. Predstavnik kompanije odbio je da razjasni detalje napada na kreditne institucije, uz objašnjenje da Group-IB ne otkriva informacije o klijentima koji koriste svoj sistem za otkrivanje upada.
Prema riječima stručnjaka za kibernetičku sigurnost, pokušaji da se infrastruktura ruskih banaka zarazi virusom dogodili su se 24. oktobra od 13:00 do 15:00 sati po moskovskom vremenu. Grupa-IB smatra da su sajber napadi pokazali bolju zaštitu banaka u odnosu na kompanije u nebankarskom sektoru. Ranije je kompanija izvijestila da je novi ransomware virus, vjerovatno povezan s junskom NotPetya ransomware epidemijom (na što ukazuju slučajnosti u kodu), napao ruske medije. Radilo se o informacionim sistemima agencije Interfaks, kao i serverima peterburškog novinskog portala Fontanka. Osim toga, virus je pogodio sisteme kijevskog metroa, Ministarstva infrastrukture Ukrajine i Međunarodnog aerodroma Odesa. NotPetya je tokom ljeta pogodila energetske, telekomunikacijske i finansijske kompanije prvenstveno u Ukrajini. Za dešifriranje datoteka zaraženih BadRabbit virusom, napadači zahtijevaju 0,05 bitcoina, što je po trenutnom kursu približno ekvivalentno 283 dolara ili 15.700 rubalja.
Kaspersky Lab je pojasnio da su ovog puta hakeri izabrali većinu žrtava u Rusiji. Međutim, slični napadi u kompaniji zabilježeni su u Ukrajini, Turskoj i Njemačkoj, ali "u znatno manjem broju". “Svi znakovi upućuju na ciljani napad na korporativne mreže. Korištene metode su slične onima koje smo primijetili u napadu na ExPetr, ali ne možemo potvrditi vezu s ExPetr-om”, rekao je portparol kompanije. Sagovornik Forbesa je dodao da svi proizvodi kompanije Kaspersky Lab „detektuju ove zlonamerne datoteke kao UDS: DangerousObject.Multi.Generic“.
Kako se zaštititi?
Da bi se zaštitio od ovog napada, Kaspersky Lab je preporučio korišćenje antivirusnog programa sa omogućenim KSN-om i modulom System Monitor. „Ako bezbednosno rešenje Kaspersky Lab-a nije instalirano, preporučujemo da zabranite izvršavanje datoteka pod nazivom c: \ windows \ infpub.dat i C: \ Windows \ cscc.dat pomoću alata za administraciju sistema,“ savetovao je šef anti- Odeljenje za istraživanje virusa Laboratorije Kaspersky „Vjačeslav Zakorževski.
Group-IB napominje da je kako bi se spriječilo da virus šifrira datoteke, “neophodno kreirati datoteku C: \ windows \ infpub.dat i dati joj prava samo za čitanje. Nakon toga, čak i ako su zaražene, datoteke neće biti šifrirane, saopštila je kompanija. Istovremeno, potrebno je brzo izolovati računare koji su primijećeni da šalju takve zlonamjerne datoteke kako bi se izbjegla velika zaraza drugih računara povezanih na mrežu. Nakon toga, korisnici moraju osigurati da su sigurnosne kopije ključnih mrežnih čvorova ažurne i potpune.
Kada su početni koraci završeni, korisniku se savjetuje da ažurira operativne sisteme i sigurnosne sisteme, istovremeno blokirajući IP adrese i imena domena sa kojih su zlonamjerne datoteke distribuirane. Group-IB preporučuje promenu svih lozinki u složenije i blokiranje iskačućih prozora, kao i zabranu skladištenja lozinki u LSA Dump u čistom tekstu.
Ko stoji iza napada BadRabbit-a
U 2017. već su zabilježene dvije najveće epidemije ransomware-a - WannaCry (napao 200.000 računara u 150 zemalja) i ExPetr. Potonji je Petya i istovremeno NotPetya, napominje Kaspersky Lab. Sada, prema kompaniji, "počinje treći". Ime novog ransomware virusa Bad Rabbit "napisano je na stranici na darknetu, na koju njegovi kreatori šalju kako bi saznali detalje", saopštila je kompanija. Group-IB vjeruje da je Bad Rabbit modificirana verzija NotPetya s ispravljenim greškama u algoritmu šifriranja. Konkretno, kod Bad Rabbit uključuje blokove koji u potpunosti ponavljaju NotPetya.
ESET Russia se slaže da je zlonamjerni softver "Win32 / Diskcoder.D" korišten u napadu modificirana verzija "Win32 / Diskcoder.C", poznatijeg kao Petya / NotPetya. Kako je Vitalij Zemskih, šef prodajne podrške za ESET Russia, pojasnio u intervjuu za Forbes, statistika napada po zemljama „u velikoj meri odgovara geografskoj distribuciji sajtova koji sadrže zlonamerni JavaScript“. Tako je najviše zaraženih zabilježeno u Rusiji (65%), zatim u Ukrajini (12,2%), Bugarskoj (10,2%), Turskoj (6,4%) i Japanu (3,8%).
Do infekcije virusom Bad Rabbit došlo je nakon ulaska na hakovane stranice. Hakeri su preuzeli JavaScript injekciju u kompromitovane resurse u HTML kodu, koji je posetiocima pokazao lažni prozor koji nudi instaliranje ažuriranja za Adobe Flash player. Ako je korisnik pristao na ažuriranje, zlonamjerna datoteka pod nazivom "install_flash_player.exe" je instalirana na računar. “Inficiranjem radne stanice u organizaciji, enkriptor se može širiti unutar korporativne mreže putem SMB protokola. Za razliku od svog prethodnika Petya / NotPetya, Bad Rabbit ne koristi eksploataciju EthernalBlue - umjesto toga skenira mrežu u potrazi za otvorenim mrežnim resursima “, kaže Zemskikh. Zatim, Mimikatz alat se pokreće na zaraženoj mašini za prikupljanje akreditiva. Pored toga, obezbeđena je i tvrdo kodirana lista prijava i lozinki.
Još nema informacija o tome ko je organizovao hakerske napade. Istovremeno, prema Grupi-IB, masovni napadi WannaCry i NotPetya, sličnih po prirodi, mogli bi biti povezani sa hakerskim grupama koje finansira vlada. Stručnjaci ovaj zaključak donose na osnovu činjenice da je finansijska korist od ovakvih napada u poređenju sa složenošću njihove implementacije "zanemarljiva". “Najvjerovatnije se nije radilo o pokušajima zarade, već da se provjeri stepen zaštite mreža kritične infrastrukture preduzeća, državnih agencija i privatnih kompanija”, zaključuju stručnjaci. Predstavnik Group-IB potvrdio je Forbesu da bi najnoviji virus - Bad Rabbit - mogao biti test zaštite državne i poslovne infrastrukture. „Da, moguće je. S obzirom na to da su napadi vršeni od tačke do tačke – na objekte kritične infrastrukture – aerodrom, metro, vladine agencije”, objašnjava sagovornik Forbesa.
Odgovarajući na pitanje o počiniteljima najnovijeg napada, ESET Russia naglašava da je korištenjem samo alata antivirusne kompanije nemoguće provesti kvalitetnu istragu i utvrditi umiješane, to je zadatak stručnjaka drugog profila. “Kao antivirusna kompanija, identificiramo metode i ciljeve napada, zlonamjerne alate napadača, ranjivosti i eksploatacije. Traganje za počiniocima, njihovim motivima, nacionalnošću i tako dalje nije naša oblast odgovornosti“, rekao je predstavnik kompanije, obećavajući da će nakon istrage donijeti zaključke o imenovanju Bad Rabbita. "Nažalost, u bliskoj budućnosti ćemo vidjeti mnogo takvih incidenata - vektor i scenario ovog napada pokazali su visoku efikasnost", - predviđaju u ESET Russia. Sagovornik Forbesa podsjeća da je kompanija u 2017. godini predvidjela porast broja ciljanih napada na korporativni sektor, prije svega na finansijske institucije (za više od 50%, prema preliminarnim procjenama). “Ova predviđanja se sada ostvaruju, vidimo porast broja napada u kombinaciji s povećanjem štete za pogođene kompanije”, priznaje on.
Ažuriranje 27.10.2017. Procjena mogućnosti dešifriranja. Mogućnost oporavka datoteka. Presude.
Šta se desilo?
U utorak, 24. oktobra, primili smo obavještenja o masovnim napadima pomoću ransomwarea Bad Rabbit. Pogođene su organizacije i pojedinačni korisnici - uglavnom u Rusiji, ali bilo je i izvještaja o žrtvama iz Ukrajine. Ovu poruku vide žrtve:
Šta je Bad Rabbit?
Bad Rabbit pripada ranije nepoznatoj porodici ransomware-a.
Kako se širi?
Zlonamjerni softver će se širiti putem drive-by napada: žrtva posjećuje legitimnu web stranicu i preuzima se iz infrastrukture organizatora napada na njegov računar. Kriminalci ga nisu koristili, pa je korisnik morao ručno pokrenuti datoteku prerušenu u Adobe Flash instalater kako bi zarazio. Međutim, naša analiza potvrđuje da je Bad Rabbit koristio eksploataciju EternalRomance za širenje preko korporativnih mreža. Isti exploit koristio je i ExPetr ransomware.
Pronašli smo brojne kompromitovane resurse – svi su to portali s vijestima i medijske stranice.
Koga cilja napad?
Većina žrtava je u Rusiji. Slični, ali manje masovni napadi pogodili su i druge zemlje - Ukrajinu, Tursku i Njemačku. Ukupan broj meta, prema statistici KSN-a, dostiže 200.
Kada je Kaspersky Lab otkrio prijetnju?
Originalni vektor napada uspjeli smo ući u trag na samom početku, 24. oktobra ujutro. Aktivna faza trajala je do podneva, iako su pojedinačni napadi zabilježeni do 19.55 po moskovskom vremenu. Server sa kojeg je distribuiran Bad rabbit dropper je ugašen te večeri.
Po čemu se Bad Rabbit razlikuje od ExPetr ransomwarea? Ili je to isti malver?
Prema našim zapažanjima, sada govorimo o ciljanom napadu na korporativne mreže, njegove metode su slične onima koje su korištene u vremenu. Štaviše, analiza koda Bad Rabbit pokazala je njegovu primjetnu sličnost s kodom ExPetr.
Tehnički detalji
Prema našim informacijama, ransomware će se širiti putem drive-by napada. ransomware dropper se učitava sa adrese hxxp: // 1dnscontrol [.] Com / flash_install.php.
Žrtve se preusmjeravaju na ovaj zlonamjerni resurs sa legitimnih web stranica s vijestima.
Preuzetu datoteku install_flash_player.exe žrtva mora ručno pokrenuti. Datoteci su potrebna administratorska prava da bi ispravno funkcionisala, što zahtijeva putem standardne UAC obavijesti. Ako se pokrene, zlonamjerni softver sprema zlonamjerni DLL kao C: Windowsinfpub.dat i pokreće ga putem rundll32.
Pseudokod procedure instalacije zlonamjernog DLL-a
Očigledno, biblioteka infpub.dat "brute-force" NTLM akreditive na Windows mašine sa pseudo-slučajnim IP adresama.
Čvrsto kodirana lista akreditiva
Biblioteka infpub.dat također instalira zlonamjernu izvršnu datoteku dispci.exe v C: Windows i kreira zadatak za njegovo pokretanje.
Pseudokod procedure koja kreira zadatak za pokretanje zlonamjerne izvršne datoteke
Štaviše, infpub.dat se ponaša kao tipičan ransomware ransomware: pronalazi podatke žrtve koristeći ugrađenu listu ekstenzija i šifrira datoteke javnim 2048-bitnim RSA ključem koji pripada napadačima.
Javni ključ napadača i lista ekstenzija
Parametri javnog ključa:
Javni ključ: (2048 bit)
Modul:
00: e5: c9: 43: b9: 51: 6b: e6: c4: 31: 67: e7: de: 42: 55:
6f: 65: c1: 0a: d2: 4e: 2e: 09: 21: 79: 4a: 43: a4: 17: d0:
37: b5: 1e: 8e: ff: 10: 2d: f3: df: cf: 56: 1a: 30: be: ed:
93: 7c: 14: d1: b2: 70: 6c: f3: 78: 5c: 14: 7f: 21: 8c: 6d:
95: e4: 5e: 43: c5: 71: 68: 4b: 1a: 53: a9: 5b: 11: e2: 53:
a6: e4: a0: 76: 4b: c6: a9: e1: 38: a7: 1b: f1: 8d: fd: 25:
4d: 04: 5c: 25: 96: 94: 61: 57: fb: d1: 58: d9: 8a: 80: a2:
1d: 44: eb: e4: 1f: 1c: 80: 2e: e2: 72: 52: e0: 99: 94: 8a:
1a: 27: 9b: 41: d1: 89: 00: 4c: 41: c4: c9: 1b: 0b: 72: 7b:
59: 62: c7: 70: 1f: 53: fe: 36: 65: e2: 36: 0d: 8c: 1f: 99:
59: f5: b1: 0e: 93: b6: 13: 31: fc: 15: 28: da: ad: 1d: a5:
f4: 2c: 93: b2: 02: 4c: 78: 35: 1d: 03: 3c: e1: 4b: 0d: 03:
8d: 5b: d3: 8e: 85: 94: a4: 47: 1d: d5: ec: f0: b7: 43: 6f:
47: 1e: 1c: a2: 29: 50: 8f: 26: c3: 96: d6: 5d: 66: 36: dc:
0b: ec: a5: fe: ee: 47: cd: 7b: 40: 9e: 7c: 1c: 84: 59: f4:
81: b7: 5b: 5b: 92: f8: dd: 78: fd: b1: 06: 73: e3: 6f: 71:
84: d4: 60: 3f: a0: 67: 06: 8e: b5: dc: eb: 05: 7c: 58: ab:
1f: 61
Eksponent: 65537 (0x10001)
style = "familija fontova: Consolas, Monako, monospace;">
Čini se da je izvršna datoteka dispci.exe zasnovana na kodu legalnog uslužnog programa DiskCryptor. Deluje kao modul za šifrovanje diska i paralelno instalira modifikovani bootloader, blokirajući normalan proces pokretanja zaraženog sistema.
Tokom analize uzoraka ove prijetnje, primijetili smo zanimljiv detalj: najvjerovatnije su autori zlonamjernog programa obožavatelji Game of Thrones. Neki redovi u kodu predstavljaju imena likova iz ovog univerzuma.
Imena zmajeva iz "Igre prijestolja"
Imena likova iz Igre prijestolja
Šema šifriranja
Kao što smo već spomenuli, Bad Rabbit ransomware šifrira datoteke i hard disk žrtve. Za datoteke se koriste sljedeći algoritmi:
- AES-128-CBC
- RSA-2048
Ovo je tipična šema koju koristi ransomware.
Zanimljivo je da ransomware navodi sve pokrenute procese i upoređuje heš u ime svakog procesa sa listom hešova koje ima. Korišteni algoritam heširanja sličan je onom koji koristi exPetr malware.
Poređenje Bad Rabbit i ExPetr rutina heširanja
Posebna grana izvođenja programa
Procedura inicijalizacije zastavica vremena izvođenja
Potpuna lista hashova iz naziva procesa:
| Hash | Naziv procesa |
| 0x4A241C3E | dwwatcher.exe |
| 0x923CA517 | McTray.exe |
| 0x966D0415 | dwarkdaemon.exe |
| 0xAA331620 | dwservice.exe |
| 0xC8F10976 | mfevtps.exe |
| 0xE2517A14 | dwengine.exe |
| 0xE5A05A00 | mcshield.exe |
Particije hard diska žrtve su šifrovane pomoću drajvera dcrypt.sys za DiskCryptor (učitava se u C: Windowscscc.dat). Enkriptor šalje potrebne IOCTL kodove ovom drajveru. Neke funkcije su preuzete "kao što jesu" iz izvora DiskCryptor (drv_ioctl.c), druge su izgleda dodali programeri zlonamjernog softvera.
Disk particije su šifrovane od strane DiskCryptor drajvera koristeći AES u XTS režimu. Lozinku generiše dispci.exe koristeći WinAPI CryptGenRandom funkciju i duga je 32 znaka.
Procjena izvodljivosti dešifriranja
Naši podaci pokazuju da Bad rabbit, za razliku od ExPetra, nije stvoren kao zmija (ranije smo pisali da tvorci ExPetra tehnički nisu u stanju dešifrirati MFT šifriran pomoću GoldenEye-a). Ponašanje zlonamjernog softvera pretpostavlja da napadači koji stoje iza Bad rabbit-a imaju potrebna sredstva da ga dešifruju.
Podaci koji se pojavljuju na ekranu zaražene mašine kao "lični ključ za instalaciju # 1" su RSA-2048 šifrirana i base64 kodirana binarna struktura koja sadrži sljedeće informacije iz zaraženog sistema:
Napadači mogu koristiti svoj RSA privatni ključ za dešifriranje ove strukture i poslati lozinku za dešifriranje diska žrtvi.
Imajte na umu da je vrijednost id polja proslijeđenog dispci.exe jednostavno 32-bitni broj koji se koristi za razlikovanje zaraženih računara, a ne uopće AES ključ za šifriranje diska, kao što se navodi u nekim izvještajima objavljenim na Internetu.
Tokom analize, izdvojili smo lozinku koju je generisao zlonamjerni softver prilikom otklanjanja grešaka i pokušali je koristiti na zaključanom sistemu nakon ponovnog pokretanja – lozinka se pojavila i preuzimanje se nastavilo.
Nažalost, sajber kriminalci ne mogu da dešifruju podatke na diskovima bez RSA-2048 ključa: simetrični ključevi se bezbedno generišu na strani zlonamernog softvera, što u praksi isključuje mogućnost njihovog nagađanja.
Međutim, pronašli smo grešku u kodu dispci.exe: generirana lozinka se ne uklanja iz memorije, što daje male šanse za njeno preuzimanje prije nego što dispci.exe završi. Na snimku ekrana ispod, možete vidjeti da dok će varijabla dc_pass (koja će biti proslijeđena drajveru) biti sigurno izbrisana nakon upotrebe, to se ne odnosi na varijablu rand_str, koja sadrži kopiju lozinke.
Pseudokod procedure koja generira lozinku i šifrira particije diska
Šifrovanje fajla
Kao što smo već spomenuli, trojanac koristi tipičnu šemu šifriranja datoteka. Generiše nasumični niz dug 32 bajta i koristi ga u algoritmu za izvođenje ključa. Nažalost, ovaj niz koristi funkciju CryptGenRandom.
Algoritam izvođenja ključa
Šifrovana lozinka, zajedno sa informacijama o zaraženom sistemu, upisuje se u Readme datoteku kao "lični ključ za instalaciju # 2".
Zanimljiva činjenica: zlonamjerni softver ne šifrira datoteke s atributom samo za čitanje.
Mogućnost oporavka datoteka
Otkrili smo da Bad Rabbit ne briše sjene kopije datoteka nakon šifriranja. To znači da ako je usluga sjenčanog kopiranja bila omogućena prije infekcije i puna enkripcija diska iz nekog razloga nije izvršena, žrtva može oporaviti šifrirane datoteke koristeći standardne Windows alate ili uslužne programe treće strane.
Sjenčane kopije na koje Bad Rabbit ne utiče
Stručnjaci kompanije Kaspersky Lab detaljno analiziraju ransomware kako bi pronašli moguće nedostatke u njegovim kriptografskim algoritmima.
Korporativnim klijentima kompanije Kaspersky Lab se preporučuje da:
- provjerite da li su svi mehanizmi omogućeni kako je preporučeno; uverite se da komponente KSN i System Monitor nisu onemogućene (aktivne su podrazumevano);
- odmah ažurirati antivirusne baze podataka.
To bi trebalo biti dovoljno. Ali kao dodatnu mjeru opreza, savjetujemo:
- spreči izvršavanje datoteka C: Windowsinfpub.dat i C: Windowscscc.dat u Kaspersky Endpoint Security.
- konfigurišite i omogućite režim „Deny by default“ u komponenti kontrole pokretanja aplikacije Kaspersky Endpoint Security.
Kaspersky Lab proizvodi definišu ovu prijetnju kao:
- Trojan-Ransom.Win32.Gen.ftl
- Trojan-Ransom.Win32.BadRabbit
- DangerousObject.Multi.Generic
- PDM: Trojan.Win32.Generic
- Intrusion.Win.CVE-2017-0147.sa.leak
http: // 1dnscontrol [.] com /
- install_flash_player.exe
- C: Windowsinfpub.dat
- C: Windowsdispci.exe
style = "familija fontova: Consolas, Monako, monospace;">
