Dana 24. listopada mnoge je korisnike u Ukrajini i Rusiji "posjetio Uskršnji zec". Samo što nije donio darove i radost, već veliki iznos problema. I nazvali su ga u skladu s tim - Zločesti zec(ili kako neki znalci pišu - BadRabbit). Pod tim imenom počeo se širiti još jedan ransomware virus.
Tko je ozlijeđen?
Prve informacije o napadu pojavile su se ujutro 24. listopada. Pogođene su mnoge državne tvrtke u Ukrajini (kijevski metro, zračna luka Odessa) i Rusiji, kao i neki mediji. Napadane su i financijske institucije, ali im napadači nisu uspjeli nauditi. Zauzvrat, predstavnici ESET-a izvijestili su da su problemi nastali ne samo u Rusiji i Ukrajini, već iu Turskoj, Japanu i Bugarskoj.
Nakon blokiranja računala, malware je obavijestio korisnika da za otključavanje podataka mora prenijeti 0,05 bitcoina (ekvivalentno 280 USD) na račun napadača.
Kako se distribuira?
Ništa se nije znalo o točnom načinu distribucije zlonamjernog softvera. Grupa-IB je primijetila da je napad pripreman nekoliko dana (iako je prema predstavniku Kaspersky Laba Costinu Raiuu priprema trajala mnogo dulje).
Međutim, već danas je poznato da je malware distribuiran pod krinkom redovitih ažuriranja. Adobe Flash, bez iskorištavanja SMB greške koju su prethodno iskorištavali ransomware WannaCry i NotPetya. Ali i tu se mišljenja stručnjaka razlikuju.
Group-IB vjeruje da je Bad Rabbit modifikacija NotPetya, u kojoj su hakeri uspjeli ispraviti greške u algoritmu šifriranja. Ujedno, napominju u Intezeru zlonamjerni kod samo 13% identičnih.
ESET i Kaspersky Lab zauzeli su prilično zanimljiv stav: tvrtke ne isključuju da bi "zli zec" mogao biti sljedbenik NotPetya, ali ne daju izravne izjave o tome.
Kako zaštititi svoje računalo?
Na ovaj trenutak Distribucija ransomwarea već je zaustavljena, ali stručnjaci napominju da se isplati zaštititi svoja računala od infekcije. Da biste to učinili, izradite datoteke:
- C:\Windows\infpub.dat i C:\Windows\cscc.dat;
- uklonite im sve dozvole za izvršavanje (blokirajte ih).
Mogu potvrditi — Cijepljenje za
Na udaru se našlo nekoliko ruskih medija i ukrajinskih organizacija Ransomware Loše Zec Konkretno, hakeri su napali tri ruska medija, uključujući Interfax i Fontanka.
24. listopada započeo je novi kibernetički napad velikih razmjera korištenjem ransomware virusa Bad Rabbit. Zlonamjerni softver je pogodio računalne mreže Kijevski metro, Ministarstvo infrastrukture, međunarodna zračna luka Odessa. Nekoliko žrtava završilo je i u Rusiji - kao rezultat napada oštećene su redakcije federalnih medija poput Interfaxa i Fontanke.
Kill Switch: trebate stvoriti datoteku C:\windows\infpub.dat i dati joj dopuštenja samo za čitanje. U tom slučaju, čak i ako su zaražene, datoteke neće biti šifrirane.
Najvjerojatnije se virus širi preko hakiranih web stranica, što navodi korisnike da instaliraju ažuriranje flash playera:
Preliminarna analiza pokazuje da se zlonamjerni softver širi nizom zaraženih ruskih medijskih stranica. Svi znakovi upućuju na to da se radi o ciljanom napadu korporativne mreže.
Nakon što prodre u žrtvino računalo, zlonamjerni softver šifrira korisničke datoteke. Za vraćanje pristupa šifriranim podacima predlaže se plaćanje otkupnine od 0,05 bitcoina, što je prema trenutnom tečaju približno jednako 283 američkih dolara ili 15 700 rubalja. Ujedno, napadači upozoravaju da će u slučaju odugovlačenja cijena dešifriranja porasti.
Pojedinosti o distribucijskoj shemi Bad Rabbita još nisu dostupne. Također nije jasno mogu li se datoteke dešifrirati. No već se zna da je većina žrtava napada u Rusiji. Osim toga, slični napadi zabilježeni su u Ukrajini, Turskoj i Njemačkoj, ali u znatno manjem broju.
O hakerskom napadu izvijestila je i press služba kijevskog metroa. Hakeri su uspjeli poremetiti mogućnost plaćanja putovanja beskontaktnim bankovnim karticama. "Pažnja! Cyber napad! Metro radi u normalni mod, osim bankarskih usluga (beskontaktno plaćanje bankovne kartice na žutoj rampi ili MasterPass),” prema službeni račun Kijevski metro na Facebooku.
Napadači traže od svojih žrtava da slijede poveznicu koja vodi do TOR stranice, gdje se pokreće automatski brojač. Nakon plaćanja, prema napadačima, žrtva bi trebala dobiti osobni ključ za dešifriranje.
Načini raspodjele i okrupnjavanja u sustavu još su nepoznati, ai ne postoje pouzdane informacije o dostupnosti ključeva za dešifriranje.
Osoblje Kaspersky Laba preporučuje sljedeće radnje:
Blokiraj izvršavanje datoteke c:\windows\infpub.dat, C:\Windows\cscc.dat.Objava će se ažurirati čim informacije budu dostupne.
Onemogućite (ako je moguće) korištenje WMI usluge.
To bi mogao biti najava trećeg vala enkripcijskih virusa, vjeruje Kaspersky Lab. Prva dva su bili senzacionalni WannaCry i Petya (aka NotPetya). O pojavi novog mrežnog malwarea i kako se zaštititi od njega snažan napad, rekli su za MIR 24 stručnjaci za kibernetičku sigurnost.
Uglavnom oni koji su pogođeni napadom Bad Rabbita (“ zločesti zeko") nalaze se u Rusiji. Znatno ih je manje u Ukrajini, Turskoj i Njemačkoj, istaknuo je voditelj odjela za antivirusna istraživanja u Kaspersky Labu. Vjačeslav Zakorževski. Vjerojatno, druge najaktivnije zemlje bile su one zemlje u kojima korisnici aktivno prate ruske internetske resurse.
Kada zlonamjerni softver zarazi računalo, šifrira datoteke na njemu. Distribuira se korištenjem web prometa s hakiranih internetskih izvora, među kojima su uglavnom bile stranice federalnih ruskih medija, kao i računala i poslužitelji kijevskog metroa, ukrajinskog Ministarstva infrastrukture, internacionalna zračna luka"Odesa". Fiksni i neuspješan pokušaj Napad ruske banke od prvih 20.
O tome da su Fontanka, Interfax i niz drugih publikacija napadnuti od strane Bad Rabbita jučer je izvijestila Group-IB, tvrtka specijalizirana za sigurnost informacija. To je pokazala analiza koda virusa Bad Rabbit povezan je s ransomwareom Not Petya, koji je u lipnju ove godine napao energetske, telekomunikacijske i financijske tvrtke u Ukrajini.
Napad je pripreman nekoliko dana, a unatoč razmjerima zaraze, ransomware je od žrtava napada tražio relativno male iznose - 0,05 bitcoina (to je oko 283 dolara ili 15.700 rubalja). Za otkup je predviđeno 48 sati. Nakon isteka tog razdoblja iznos se povećava.
Stručnjaci Group-IB vjeruju da hakeri najvjerojatnije nemaju namjeru zaraditi. Njihov je vjerojatni cilj provjeriti razinu zaštite mreža kritične infrastrukture poduzeća, državni odjeli i privatne tvrtke.
Lako je postati žrtva napada
Kada korisnik posjeti zaraženu stranicu, zlonamjerni kod prenosi informacije o njemu udaljeni poslužitelj. Zatim se pojavljuje skočni prozor s upitom da preuzmete ažuriranje za Flash Player, što je lažno. Ako korisnik odobri operaciju “Instaliraj”, datoteka će biti preuzeta na računalo, koje će zauzvrat pokrenuti Win32/Filecoder.D enkriptor na sustavu. Zatim će pristup dokumentima biti blokiran, a na ekranu će se pojaviti poruka o otkupnini.
Virus Bad Rabbit skenira mrežu u potrazi za otvorenim mrežni resursi, nakon čega pokreće alat na zaraženom računalu za prikupljanje vjerodajnica i to se "ponašanje" razlikuje od svojih prethodnika.
Stručnjaci međunarodnog developera antivirusnog softvera Eset NOD 32 potvrdili su da Bad Rabbit jest nova izmjena Petya virus, čiji je princip rada bio isti - virus je šifrirao informacije i tražio otkupninu u bitcoinima (iznos je bio usporediv s Bad Rabbitom - 300 dolara). Novi malware ispravlja pogreške u enkripciji datoteka. Kod koji se koristi u virusu namijenjen je šifriranju logičke pogone, vanjski USB pogoni i CD/DVD slike, kao i bootable sistemske particije disk.
Kad smo već kod publike koja je bila izložena Loši napadi Rabbit, voditelj prodajne podrške, ESET Rusija Vitalij Zemskikh izjavio je da je 65% napada prestalo antivirusni proizvodi tvrtke nalaze se u Rusiji. Ostatak geografije novog virusa izgleda ovako:
Ukrajina – 12,2%
Bugarska – 10,2%
Turska – 6,4%
Japan – 3,8%
ostali – 2,4%
"Poznati su napadi ransomwarea softver S otvoreni izvor pod nazivom DiskCryptor za šifriranje diskova žrtve. Zaslon zaključane poruke koji korisnik vidi gotovo je identičan zaključanim zaslonima Petya i NotPetya. Međutim, to je jedina sličnost koju smo do sada vidjeli između dva malwarea. U svim ostalim aspektima, BadRabbit je potpuno nova i jedinstvena vrsta ransomwarea”, smatra pak on. Tehnički direktor tvrtke Kontrolna točka Softverske tehnologije Nikita Durov.
Kako se zaštititi od Bad Rabbita?
Vlasnici drugih operativnih sustava osim Windowsa mogu odahnuti jer novi ransomware virus čini samo računala s ovom "osovinom" ranjivima.
Za zaštitu od mrežnog zlonamjernog softvera, stručnjaci preporučuju stvaranje datoteke C:\windows\infpub.dat na vašem računalu i postavljanje prava samo za čitanje za nju - to je lako učiniti u odjeljku za administraciju. Na taj način ćete blokirati izvršavanje datoteke, a svi dokumenti koji stignu izvana neće biti šifrirani čak i ako su zaraženi. Kako biste izbjegli gubitak vrijednih podataka u slučaju zaraze virusom, sada napravite sigurnosnu kopiju. I, naravno, vrijedi zapamtiti da je plaćanje otkupnine zamka koja ne jamči da će vaše računalo biti otključano.
Podsjetimo, virus se u svibnju ove godine proširio u najmanje 150 zemalja svijeta. Podatke je šifrirao i tražio otkupninu, prema različitim izvorima, od 300 do 600 dolara. Njime je pogođeno preko 200 tisuća korisnika. Prema jednoj verziji, njegovi su kreatori uzeli kao osnovu malware Američka NSA Vječno plava.
Alla Smirnova razgovarala je sa stručnjacima
U kontaktu s
Kolege
Baš neki dan, veliko hakerski napad novi ransomware virus Bad Rabbit, poznat i kao Diskcoder.D. Virus u trenutno napada korporativne mreže velikih i srednjih organizacija, blokirajući sve mreže. Danas ćemo vam reći što je ovaj trojanac i kako se možete zaštititi od njega.
Virus Bad Rabbit radi prema standardnoj shemi za ransomware: nakon što uđe u sustav, kodira datoteke za čije dešifriranje hakeri traže 0,05 bitcoina, što prema tečaju iznosi 283 dolara (ili 15.700 rubalja). Ovo je prijavljeno poseban prozor, gdje zapravo trebate unijeti kupljeni ključ. Prijetnja pripada tipu Trojan.Win32.Generic, ali sadrži i druge komponente, poput DangerousObject.Multi.Generic i Ransom.Win32.Gen.ftl.
Još uvijek je teško potpuno ući u trag svim izvorima zaraze, ali stručnjaci sada rade na tome.
Vjerojatno prijetnja dolazi do računala preko zaraženih stranica konfiguriranih za preusmjeravanje ili pod krinkom lažnih ažuriranja za popularne dodatke kao što je Adobe Flash. Popis takvih stranica samo raste.
Treba odmah napomenuti da je u ovom trenutku sve antivirusni laboratoriji Počeli smo analizirati ovaj trojanac. Ako konkretno tražite informaciju o uklanjanju virusa, onda ona kao takva ne postoji. Odmah odbacimo standardne savjete, poput izrade sigurnosne kopije sustava, povratne točke, brisanja određene datoteke. Ako nemate spremanja, onda sve ostalo ne radi, hakeri su zbog specifikacija virusa izračunali te bodove.
Postoji mogućnost da dekriptori koje su izradili amateri za Bad Rabbit uskoro krenu u distribuciju - vaša je stvar hoćete li koristiti ove programe ili ne. Kao što je prethodni Petya ransomware pokazao, ovo malo pomaže.
Ali moguće je spriječiti prijetnju i ukloniti je dok pokušavate ući u računalo. Budite prvi koji će čuti za virusna epidemija reagirao Kaspersky laboratoriji i ESET, koji već blokiraju pokušaje upada.
preglednik Google Chrome Između ostalog, počeo je identificirati zaražene resurse i upozoravati na njihovu opasnost. Evo što prvo trebate učiniti da se zaštitite od BadRabbit-a:
1. Ako za zaštitu koristite Kaspersky, ESET, Dr.Web ili druge poznati analozi, tada morate ažurirati baze podataka. Za Kaspersky također morate omogućiti System Watcher, a za ESET primijeniti potpise s ažuriranjem 16295.
2. Ako ne koristite antiviruse, tada trebate blokirati izvršavanje datoteka C:\Windows\infpub.dat i C:\Windows\cscc.dat. To se radi pomoću uređivača grupne politike, ili AppLocker programe za Windows.
3. Ako je moguće, vrijedi onemogućiti izvršenje usluge - Windows Management Instrumentation (WMI). U verziji 10 usluga se zove “Toolkit Upravljanje Windowsima" Pomoću desni gumb unesite svojstva usluge i odaberite način rada "Onemogućeno" u "Vrsta pokretanja".
Neophodno je napraviti sigurnosnu kopiju vašeg sustava. Idealno bi bilo da kopija uvijek bude pohranjena na povezani medij.
Zaključno, treba napomenuti ono najvažnije - ne biste trebali platiti otkupninu, bez obzira što ste šifrirali. Ovakav način djelovanja samo potiče prevarante da kreiraju nove virusne napade. Pratite forume antivirusne tvrtke, za koji se nadam da će uskoro biti istražen Loš virus Zec i pronaći će pravo rješenje. Svakako slijedite gore navedene korake kako biste zaštitili svoj OS. Ako naiđete na bilo kakve poteškoće pri njihovom izvođenju, napišite u komentarima.
Napad u utorak ransomware virus Loše Rabbit je ciljao računala u Ruskoj Federaciji, Ukrajini, Turskoj i Njemačkoj. Virus je brzo blokiran, ali stručnjaci računalna sigurnost upozoriti na približavanje novog “cyber uragana”.
Virusni napadi započeli su sredinom dana u Ukrajini: virus je pogodio računalne mreže kijevskog metroa, Ministarstva infrastrukture i međunarodne zračne luke Odessa. Bad Rabbit je šifrirao datoteke na računalima i tražio otkupninu od 0,05 bitcoina.
Nešto kasnije, Rus informativne agencije Interfax i poslužitelj St. Petersburga portal vijesti"Fontanka", zbog čega su ova dva medija bila prisiljena prekinuti rad. Prema Group-IB-u, tvrtki za istraživanje kibernetičkog kriminala, Bad Rabbit je u utorak od 13 do 15 sati po moskovskom vremenu pokušao napasti i velike ruske banke, ali nije uspio. ESET je izvijestio da su virusni napadi pogodili korisnike u Bugarskoj, Turskoj i Japanu.
Bad Rabbit se distribuirao pod krinkom lažnih ažuriranja i instalacijskih programa za Adobe Flash. Lažni su bili potpisani lažnim certifikatima koji su imitirali Symantec certifikate.
Samo nekoliko sati nakon početka napada gotovo svi su testirali virus najveće tvrtke u području internetske sigurnosti. Stručnjaci iz ESET-a, Proofpointa i Kaspersky Laba otkrili su da se Bad Rabbit distribuirao pod krinkom lažnih ažuriranja i Adobe Flash instalacijskih programa. Lažni su bili potpisani lažnim certifikatima koji su imitirali Symantec certifikate.
Bad Rabbit je distribuirao nekoliko hakiranih stranica odjednom, uglavnom medijskih kuća. Također je utvrđeno da je napad pripreman nekoliko dana: Najnovija ažuriranja Programi su napravljeni još 19.10.2017.
Nasljednik "Petita"
Ovo je treći globalni ransomware napad ove godine. 12. svibnja virus WannaCry zarazio je više od 300 tisuća računala u 150 zemalja. WannaCry je šifrirao datoteke korisnika; za dešifriranje su iznuđivači tražili da plate 600 dolara u kriptovaluti Bitcoin. Osobito su patili od napada virusa Nacionalni sustav UK zdravstvo, španjolska telekomunikacijska kompanija Telefonica, rusko Ministarstvo za izvanredne situacije, Ministarstvo unutarnjih poslova, Ruske željeznice, Sberbank, Megafon i VimpelCom.
Ukupna šteta od WannaCryja premašila je milijardu dolara. Istodobno, prema američkim stručnjacima, iznuđivači su primili samo 302 uplate po ukupni iznos 116,5 tisuća dolara.
Stručnjaci su utvrdili da je WannaCry napravljen na temelju hakerskog programa EternalBlue koji je izradila američka NSA, a hakeri su ga ukrali. Predsjednik Microsofta Brad Smith rekao je u tom smislu da je napad masivan WannaCry virus postalo moguće zahvaljujući činjenici da CIA i američka Agencija za nacionalnu sigurnost (NSA) prikupljaju podatke o ranjivostima softvera za vlastite interese.
Napad WannaCry otkriva zabrinjavajuću vezu između dva najozbiljnija oblika cyber prijetnji – državnih akcija i kriminalnih skupina.
Brad Smith
Predsjednik Microsofta
27. lipnja 2017. započeli su napadi ransomware virusa NotPetya. Virus se širio preko linkova u porukama E-mail i blokiran korisnički pristup tvrdi disk Računalo. Kao i kod WannaCryja, hakeri su tražili otkupninu za vraćanje funkcionalnosti računala, ali ovaj put samo 300 dolara u Bitcoinu.
Deseci ljudi bili su pogođeni napadom NotPetya ruske tvrtke, uključujući Rosneft, Bashneft, Evraz, ruske urede Marsa, Mondelesa i Nivee. U Ukrajini napad virusa Pogođena su računala Kyivenerga, Ukrenerga, Oschadbanka, koncerna Antonov i nuklearne elektrane Černobil. Kao i WannaCry, NotPetya je nastala na temelju alata EternalBlue koji je razvila američka NSA.
Prema mišljenju stručnjaka, autor novog virusa za šifriranje BadRabbit mogao bi biti isti haker ili skupina hakera koji su napisali NotPetya: u kodu oba virusa pronađeni su podudarni fragmenti. To su izračunali analitičari Intezera izvor dva virusa podudaraju se za 13%.
Bad Rabbit je modificirana verzija NotPetya s ispravljenim pogreškama u algoritmu šifriranja.
Group-IB tvrtka
Stručnjaci ESET-a i Kaspersky Laba također priznaju da bi Bad Rabbit mogao biti izravni "nasljednik" NotPetya, ali imajte na umu da Bad Rabbit, za razliku od dva prethodna ransomware virusa, ne koristi alat EternalBlue.
Kako se zaštititi od "Bad Bunny"
Stručnjaci za internetsku sigurnost javljaju da je distribucija Bad Rabbita već zaustavljena, ali savjetuju poduzimanje sigurnosnih mjera. Group-IB je na svom Telegram kanalu dao preporuke što učiniti kako biste spriječili virus da kriptira vaše datoteke.
Morate stvoriti datoteku C:\windows\infpub.dat i dati joj dopuštenja samo za čitanje<...>Nakon toga, čak i ako su zaražene, datoteke neće biti šifrirane.
Group-IB tvrtka
specijalizirao se za istrage kibernetičkog kriminala
Kako bi se izbjegla velika infekcija, potrebno je brzo izolirati računala za koja je otkriveno da ih šalju zlonamjerne datoteke, istaknuli su iz tvrtke. Osim toga, korisnici bi trebali osigurati da sigurnosne kopije ključni mrežni čvorovi.
Također se preporučuje ažuriranje OS i sigurnosnih sustava te istovremeno blokirati IP adrese i imena domena, iz kojeg su distribuirane zlonamjerne datoteke. Osim toga, Group-IB preporučuje promjenu svih lozinki u složenije i omogućavanje blokiranja skočnih prozora.
Najgore možda tek dolazi
Dva dana prije napada Bad Bunnyja, vodeće norveške novine Dagbladet objavile su veliki članak, koji je upozorio na približavanje “cyber oluje neviđene snage koja bi mogla zatvoriti svjetski internet”. "Naše istraživanje pokazuje da je sada zatišje prije snažne oluje. Cyber uragan se približava", prenosi Dagbladet poruku izraelske tvrtke za zaštitu od virusa Check Point.
Prema Check Pointu, nepoznati hakeri trenutno stvaraju divovski Reaper botnet, inficirajući uređaje povezane s internetom poput usmjerivača, pa čak i kamera. Stručnjaci tvrtke naglašavaju da in u ovom slučaju hakeri su se usredotočili na "Internet of Things" - pametne uređaje povezane s World Wide Webom (od žarulja, brava na vratima, nadzornih kamera do hladnjaka i aparata za kavu) kojima se može upravljati putem mobilne aplikacije ili Internet.
Većina ovih uređaja (žarulje, video kamere, itd. spojeni na Internet) imaju ogromne ranjivosti. Predmeti se obično isporučuju s prezimenom korisnika i standardna lozinka, a softver se rijetko ažurira. Stoga su vrlo ranjivi na hakerske napade.
specijalizirana za zaštitu od virusa
Stručnjaci tvrtke otkrili su krajem rujna da su hakeri "regrutirali" ogroman broj takvih objekata za širenje virusa na druge stvari. Stoga se virus sve brže širi i već je zarazio milijune uređaja diljem svijeta, uključujući većinu D-Link usmjerivači, Netgear i Linksys, kao i sigurnosne kamere povezane s internetom tvrtki kao što su Vacron, GoAhead i AVTech.
Reaper botnet još nije pokazao nikakvu aktivnost, ali kineska tvrtka O zaštiti od virusa, Qihoo 360 upozorava da se virus može aktivirati u bilo kojem trenutku, što rezultira gašenjem velikih dijelova interneta.
