Cum se configurează smartphone-uri și PC-uri. Portal informativ
  • Acasă
  • Windows Phone
  • Cum funcționează virusul ransomware Bad Rabbit. Iepurașul rău atacă

Cum funcționează virusul ransomware Bad Rabbit. Iepurașul rău atacă

13.06.2019 Windows Phone

Bad Rabbit sau Diskcoder ransomware D. Lansează rețele corporative ale organizațiilor mari și mijlocii, blocând toate rețelele.

Bad Rabbit sau „rău iepure” cu greu poate fi numit un pionier - a fost precedat de ransomware-ul Petya și WannaCry.

Bad Rabbit - ce fel de virus

Răspândirea noului virus a fost investigată de experții companiei antivirus ESET și au constatat că Bad Rabbit a pătruns în computerele victimelor sub pretextul actualizării Adobe Flash pentru browser.

Compania de antivirus consideră că Win32 / Diskcoder.D, numit Bad Rabbit, este o versiune modificată a Win32 / Diskcoder.C, mai cunoscută ca Petya / NotPetya, care a lovit sistemele IT ale organizațiilor din mai multe țări în luna iunie. Asocierea dintre Bad Rabbit și NotPetya este indicată de potriviri din cod.

Atacul folosește programul Mimikatz, care interceptează datele de conectare și parolele de pe mașina infectată. De asemenea, în cod sunt deja înregistrate login-uri și parole pentru încercările de a obține acces administrativ.

Noul program rău intenționat remediază erorile de criptare a fișierelor - codul folosit în virus este conceput pentru a cripta unitățile logice, unitățile USB externe și imaginile CD/DVD, precum și partițiile de disc de sistem bootabile. Așadar, experții în decriptare vor trebui să petreacă mult timp pentru a dezvălui secretul virusului Bad Rabbit, spun experții.

Noul virus, potrivit experților, funcționează după o schemă standard pentru furnizorii de criptare - căzând în sistem de pe nimeni nu știe unde, codifică fișiere, pentru a căror decriptare hackerii cer o răscumpărare în bitcoins.

Deblocarea unui computer va costa 0,05 bitcoin, adică aproximativ 283 USD la cursul de schimb actual. În cazul plății răscumpărării, escrocii vor trimite un cod de cheie special care va restabili funcționarea normală a sistemului și nu va pierde totul.

Dacă utilizatorul nu transferă fonduri în 48 de ore, răscumpărarea va crește.

Dar, merită să ne amintim că plata răscumpărării poate fi o capcană care nu garantează că computerul va fi deblocat.

ESET observă că în prezent nu există nicio comunicare între malware și serverul de la distanță.

Virusul a lovit cel mai mult utilizatorii ruși și, într-o măsură mai mică, companiile din Germania, Turcia și Ucraina. Răspândirea a avut loc prin medii infectate. Site-urile infectate cunoscute au fost deja blocate.

ESET consideră că statisticile atacurilor se potrivesc îndeaproape cu distribuția geografică a site-urilor care conțin JavaScript rău intenționat.

Cum să te protejezi

Specialiștii companiei Group-IB, care este implicată în prevenirea și investigarea infracțiunilor cibernetice, au oferit recomandări despre cum să vă protejați de virusul Bad Rabbit.

În special, pentru a vă proteja împotriva unui dăunător din rețea, trebuie să creați fișierul C: \ windows \ infpub.dat pe computer și, în secțiunea de administrare, să setați drepturi de numai citire pentru acesta.

Prin această acțiune, execuția fișierului va fi blocată, iar toate documentele care sosesc din exterior nu vor fi criptate, chiar dacă devin infectate. Este necesar să creați o copie de rezervă a tuturor datelor valoroase, astfel încât în ​​caz de infecție să nu se piardă.

Experții Group-IB recomandă, de asemenea, blocarea adreselor IP și a numelor de domenii de la care au fost distribuite fișiere rău intenționate și să pună utilizatorilor blocare a ferestrelor pop-up.

De asemenea, se recomandă izolarea rapidă a computerelor în sistemul de detectare a intruziunilor. Utilizatorii de PC-uri ar trebui să verifice, de asemenea, relevanța și integritatea copiilor de rezervă ale nodurilor cheie ale rețelei și să își actualizeze sistemele de operare și sistemele de securitate.

„În ceea ce privește politica privind parolele: prin utilizarea setărilor Politicii de grup, interziceți stocarea parolelor în LSA Dump în text clar. Schimbați toate parolele în altele complexe”, a adăugat compania.

Predecesorii

În mai 2017, virusul WannaCry s-a răspândit în cel puțin 150 de țări din întreaga lume. El a criptat informații și a cerut să plătească o răscumpărare, potrivit diverselor surse, de la 300 la 600 de dolari.

Peste 200 de mii de utilizatori au suferit din cauza asta. Potrivit uneia dintre versiuni, creatorii săi au luat drept bază programul malware NSA din SUA Eternal Blue.

Atacul global al virusului ransomware Petya din 27 iunie a lovit sistemele IT ale companiilor din mai multe țări din lume, afectând în mare parte Ucraina.

Au fost atacate computere din petrol, energie, telecomunicații, companii farmaceutice și agenții guvernamentale. Poliția cibernetică a Ucrainei a declarat că atacul ransomware a fost efectuat prin programul M.E.doc.

Material pregătit pe baza surselor deschise

Virusul ransomware cunoscut sub numele de Bad Rabbit a atacat zeci de mii de computere din Ucraina, Turcia și Germania. Dar majoritatea atacurilor au căzut asupra Rusiei. Ce fel de virus este și cum să vă protejați computerul, vă vom spune în secțiunea noastră „Întrebări și răspunsuri”.

Cine a suferit în Rusia de iepure rău?

Virusul ransomware Bad Rabbit a început să se răspândească pe 24 octombrie. Printre victimele acțiunilor sale se numără agenția de știri Interfax și publicația Fontanka.ru.

De asemenea, metroul din Kiev și aeroportul Odesa au avut de suferit din cauza acțiunilor hackerilor. Apoi a devenit cunoscut despre o încercare de a pirata sistemul mai multor bănci rusești din primele 20.

După toate indicațiile, acesta este un atac direcționat asupra rețelelor corporative, deoarece sunt folosite metode similare cu cele observate în timpul atacului cu virusul ExPetr.

Noul virus face o singură cerere pentru toată lumea: o răscumpărare de 0,05 bitcoin. În ceea ce privește ruble, aceasta este de aproximativ 16 mii de ruble. Totuși, informează că timpul pentru îndeplinirea acestei cerințe este limitat. Se acordă puțin peste 40 de ore pentru orice. În plus, taxa de răscumpărare va crește.

Ce este acest virus și cum funcționează?

V-ați dat deja seama cine se află în spatele răspândirii sale?

Nu a fost încă posibil să se afle cine se află în spatele acestui atac. Ancheta i-a condus pe programatori doar la numele domeniului.

Specialiștii în antivirus subliniază asemănarea noului virus cu virusul Petya.

Dar, spre deosebire de virușii din trecut, anul acesta, hackerii au decis de această dată să meargă pe calea ușoară, relatează 1tv.ru.

„Se pare că infractorii se așteptau ca în majoritatea companiilor utilizatorii să-și actualizeze computerele după aceste două atacuri și au decis să încerce un instrument destul de ieftin – ingineria socială pentru a infecta utilizatorii relativ neobservați pentru prima dată”, a spus șeful departamentului anti. -departamentul de cercetare virus la Kaspersky Lab. Vyacheslav Zakorzhevsky.

Cum să vă protejați computerul de un virus?

Asigurați-vă că ați făcut o copie de rezervă a sistemului. Dacă utilizați Kaspersky, ESET, Dr.Web sau alți analogi populari pentru protecție, ar trebui să actualizați imediat bazele de date. De asemenea, pentru Kaspersky este necesar să activați „Monitorizarea activității” (System Watcher), iar în ESET să aplicați semnături cu actualizarea 16295, informează talkdevice.

Dacă nu aveți software antivirus, blocați execuția fișierelor C:\Windows\infpub.dat și C:\Windows\cscc.dat. Acest lucru se face prin Editorul de politici de grup sau AppLocker pentru Windows.

Împiedicați rularea serviciului - Windows Management Instrumentation (WMI). Prin butonul din dreapta intrați în proprietățile serviciului și selectați modul „Dezactivat” în „Tipul de pornire”.

A infectat deja computerele a trei instituții media rusești și este probabil să fi cauzat probleme și cu sistemele informaționale din Ucraina.

La marcaje

În după-amiaza zilei de 24 octombrie, site-urile agenției de știri „Interfax” și ale ziarului din Sankt Petersburg „Fontanka” funcționează: reprezentanții ambelor au raportat că motivul a fost un atac de virus. Ulterior, atacul hackerilor asupra Ministerului Infrastructurii din Ucraina, metroului din Kiev și aeroportului Odesa.

Nu se știe încă exact dacă toate aceste atacuri sunt legate, dar toate s-au petrecut aproximativ în același timp - au devenit cunoscute cu o diferență de câteva ore. Cel puțin, mass-media rusă a fost atacată de același virus de criptare, potrivit Grupului-IB și precizând că și instituțiile statului din Ucraina ar putea deveni victime ale acesteia.

Creatorii virusului însuși îl numesc Iepure Rău. TJ împărtășește ceea ce se știe despre virus.

  • Infecția Bad Rabbit amintește de mai 2017: a afectat mai ales companii din Rusia și Ucraina, virusul s-a răspândit foarte rapid, hackerii au cerut răscumpărare. Dar Group-IB spune că Bad Rabbit în sine nu este ca Petya.A sau WannaCry - acum specialiștii studiază computerele infectate;
  • Un virus infectează un computer prin criptarea fișierelor de pe acesta. Nu le puteți accesa. Pe ecranul computerului este afișat un mesaj detaliat cu instrucțiuni: fotografii cu exemple de astfel de computere infectate au fost publicate pe canalul Group-IB Telegram;

Fotografie de Group-IB

  • Instrucțiunile spun că trebuie doar să introduceți o parolă pentru a decripta fișierele. Dar pentru a-l obține, trebuie să mergi un drum lung. Mai întâi, accesați un site special la caforssztxqzf2nm.onion pe darknet - pentru aceasta este nevoie de un browser Tor. Judecând după fotografiile publicate de Group-IB, site-ul este același peste tot;
  • Numele virusului este indicat pe site - Bad Rabbit. Pentru a obține o parolă pentru decriptarea datelor, hackerii solicită introducerea unui „cod personal de configurare” - un cifr lung dintr-un mesaj afișat pe ecranul computerului. După aceea, va apărea adresa portofelului bitcoin către care doriți să transferați bani;
  • Judecând după site-ul web Bad Rabbit, ransomware-ul cere o răscumpărare de 0,05 bitcoin per computer. La cursul de schimb din 24 octombrie, acesta este de aproximativ 283 USD sau 16,5 mii de ruble (Petya.A a cerut și aproximativ 300 USD);
  • Din nou, judecând după site-ul web al virusului, ransomware-ul oferă doar două zile (48 de ore) pentru a plăti răscumpărarea inițială. După expirarea acestei perioade, prețul pentru decriptarea fișierelor va crește, cât este necunoscut;
  • Nu a fost posibilă verificarea adresei portofelului bitcoin către care hackerii primesc fonduri folosind codurile disponibile din fotografiile Group-IB. Poate că au fost deja folosite, poate că am făcut o greșeală - la urma urmei, codul are 356 de caractere;

Virusul BadRabbit funcționează ca o nouă amenințare cripto care a reușit să facă ravagii în Europa de Est. Acționează similar cu infamul sau ransomware-ul care a izbucnit în spațiul cibernetic acum câteva luni. Aruncând o privire mai atentă, deși există asemănări, iar profesioniștii IT bănuiesc că dezvoltatorul poate fi același, dar codul sursă este complet diferit.

În acest moment, se spune că numărul victimelor a depășit 200. Dezvoltatorii par să nu le placă puternic Rusia și Ucraina, deoarece cele două țări au fost cel mai puternic afectate. Principalele ținte sunt Aeroportul Internațional Odesa din Ucraina și mai multe corporații media din Rusia, printre care Interfax, Fontanka.ru și altele. În plus, atacul s-a extins și în țările vecine precum Turcia și Bulgaria.

Conduceți atacuri prin actualizări false ale Flash Player

Produsul Adobe Flash Player a demonstrat încă o dată succesul dezvoltatorilor de programe malware. Principala componentă rău intenționată a programului este deghizată ca o actualizare Flash falsă. Malware-ul se încarcă ca instalare_ flash_ jucător. executabil fișier de pe site-uri deteriorate. Ransomware-ul BadRabbit se poate deghiza ca nume de fișiere alternative.

După cum arată analiza VirusTotal, o amenințare poate fi ascunsă într-un anumit „dezinstalare”. Din fericire, infecția este deja detectată de majoritatea aplicațiilor de securitate. Malware-ul exploatează anumite vulnerabilități în serverele SMB, ceea ce explică de ce este capabil să se infiltreze în servere.

După invazia lui Bad Rabbit, se creează ransomware C:\ Windows\ infpub. dat fişier. Prin urmare, generează următoarele fișiere - C:\ Windows\ cscc. datși C:\ Windows\ dispci. executabil... Ei sunt responsabili pentru modificarea setărilor MBR. Interesant este că malware-ul oferă link-uri către personajele Game of Thrones. Malware-ul BadRabbit creează trei sarcini numite după cei trei dragoni din serie:

  • C: \ Windows \ system32 \ rundll32.exe C: \ Windows \ infpub.dat, # 1 15
  • cmd.exe / c schtasks / Delete / F / TN rhaegal
  • cmd.exe / c schtasks / Creare / RU SYSTEM / SC ONSTART / TN rhaegal / TR
  • cmd.exe / c schtasks / Creați / SC o dată / TN drogon / RU SYSTEM / TR: 00
  • C: \ Windows \ AF93.tmp "\

De asemenea, folosește un serviciu de criptare open source numit DiskCryptor. Mai târziu folosește metode standard de criptare AE și RSA-2048. Sunt proiectate pentru o varietate de formate de fișiere. Deoarece Petya.A nu adaugă extensia de fișier, ci interferează cu setările Master Boot Record (MBR).

Repornește sistemul și afișează aceeași notă de răscumpărare ca NotPetya. De asemenea, direcționează victimele către site-ul său unic de plată. El îi informează pe scurt despre malware și cere o răscumpărare de 0,05 BTC. După ce malware-ul se infiltrează cu succes în sistem, acesta folosește Mimikatz pentru a obține informații tehnice despre alte dispozitive vizibile în aceeași rețea.

Virusul BadRabbit continuă atrocitatea lui Petya.
Metoda 1 (Mod sigur)
Selectați „Mod sigur cu rețea” Metoda 1 (Mod sigur)
Selectați „Activați modul sigur cu rețea”

Selectați „Modul sigur cu linie de comandă” Metoda 2. (Recuperarea sistemului)
Selectați „Activați modul sigur cu linia de comandă”
Metoda 2. (Recuperarea sistemului)
Tastați „cd restore” fără ghilimele și apăsați „Enter”
Metoda 2. (Recuperarea sistemului)
Tastați „rstrui.exe” fără ghilimele și apăsați „Enter”
Metoda 2. (Recuperarea sistemului)
În fereastra „System Restore” care apare, selectați „Next”
Metoda 2. (Recuperarea sistemului)
Selectați punctul de restaurare și faceți clic pe „Următorul”
Metoda 2. (Recuperarea sistemului)
Faceți clic pe „Da” și porniți Restaurare sistem ⇦ ⇨

Slide 1 din 10

De exemplu, sau vă ajută să identificați infecția. Un astfel de instrument vă poate ajuta să eliminați BadRabbit. Mai jos veți găsi instrucțiuni despre cum să redobândiți accesul la computer. Apoi puteți elimina virusul Bad Rabbit.

Eliminați amenințarea criptografică BadRabbit

Datorită metodelor sale de lucru specifice, nu este surprinzător de ce malware-ul este numit următorul Petya. Dacă vă confruntați cu această nenorocire cibernetică, urmați instrucțiunile de mai jos. Deoarece ransomware-ul modifică setările MBR, nu veți putea să porniți imediat computerul în Safe Mode. Urmați instrucțiunile pentru a reseta MBR-ul.

După aceea, reporniți computerul în modul sigur, reactivați aplicațiile de securitate și eliminați virusul BadRabbit. După scanare, porniți computerul în mod normal și repetați procedura. Acest lucru va confirma că eliminarea Bad Rabbit este completă. Vă rugăm să rețineți că eliminarea programelor malware nu restaurează fișierele codificate. Încercați să le restaurați din copii de rezervă. Mai jos veți găsi câteva sugestii.

Pe Windows 7:

  1. Introduceți DVD-ul Windows 7.
  2. Porniți DVD-ul.
  3. Selectați preferințele de limbă și tastatură. Click pe Mai departe.
  4. Selectați sistemul dvs. de operare, bifați Utilizați instrumente de recuperare și faceți clic Mai departe.
  5. Așteptați să apară ecranul Opțiuni de recuperare a sistemuluiși selectați Linie de comanda.
  6. Introduceți următoarele comenzi și apăsați Enter după fiecare: bootrec / rebuildbcd, bootrec / fixmbr, și bootrec / fixboot.
  7. Scoateți DVD-ul de instalare și reporniți computerul.

Pe sistemele Windows 8/10:

  1. Introduceți DVD-ul de instalare sau unitatea de recuperare USB.
  2. Selecteaza o optiune Repararea computerului.
    3. Depanareși du-te la Linie de comanda.
  3. Introduceți următoarele comenzi pe rând și apăsați introduce după fiecare: bootrec / FixMbr, bootrec / FixBoot, bootrec / ScanOs, și bootrec / RebuildBcd.
  4. Eliminați recuperarea DVD sau USB.
  5. Tastați exit și apăsați Enter.
  6. Reporniți computerul.

Mai multe instituții media ruse și organizații ucrainene au fost atacate de ransomware-ul Bad Rabbit. În special, hackerii au atacat trei instituții media ruse, inclusiv Interfax și Fontanka.

Pe 24 octombrie, a început un nou atac cibernetic la scară largă folosind virusul ransomware Bad Rabbit. Malware-ul a lovit rețelele de computere ale metroului din Kiev, ale Ministerului Infrastructurii și ale Aeroportului Internațional Odesa. Mai multe victime au ajuns și în Rusia - în urma atacului, au avut de suferit redacția presei federale, precum Interfax și Fontanka.

Kill Switch: trebuie să creați un fișier C: \ windows \ infpub.dat și să îl setați la drepturi de numai citire. În acest caz, chiar dacă sunt infectate, fișierele nu vor fi criptate.

Virusul se răspândește cel mai probabil prin site-uri web compromise, determinând utilizatorii să-și actualizeze playerul flash:

Analiza preliminară arată că malware-ul se răspândește printr-un număr de site-uri web infectate ale instituțiilor media rusești. Toate semnele indică faptul că acesta este un atac țintit asupra rețelelor corporative.

După infiltrarea în computerul victimei, malware-ul criptează fișierele utilizatorului. Pentru a restabili accesul la datele codificate, se propune să plătească o răscumpărare în valoare de 0,05 bitcoin, care la cursul de schimb actual este aproximativ echivalent cu 283 de dolari SUA sau 15.700 de ruble. Totodată, infractorii cibernetici avertizează că, în caz de întârziere, prețul pentru decriptare va crește.

Detaliile despre schema de distribuție Bad Rabbit nu sunt încă disponibile. De asemenea, nu este clar dacă fișierele pot fi decriptate. Dar se știe deja că majoritatea victimelor atacului se află în Rusia. În plus, atacuri similare au fost înregistrate în Ucraina, Turcia și Germania, dar în număr semnificativ mai mic.

Serviciul de presă al metroului din Kiev a relatat și despre atacul hackerilor. Hackerii au reușit să perturbe capacitatea de a plăti călătoria folosind carduri bancare fără contact. "Atenţie! Atac cibernetic! Metroul funcționează ca de obicei, cu excepția serviciilor bancare (plată cu carduri bancare contactless la turnichet galben sau MasterPass),” se arată în contul oficial al metroului din Kiev pe Facebook.

Infractorii cibernetici le cer victimelor să urmeze linkul care duce la site-ul TOR, care rulează un contor automat. După plată, conform infractorilor cibernetici, victima trebuie să primească o cheie personală de decriptare.

Metodele de distribuție și consolidare în sistem sunt încă necunoscute și, de asemenea, nu există informații sigure despre prezența cheilor de decriptare.

Angajații Kaspersky Lab recomandă următoarele acțiuni:

Blocați execuția fișierului c: \ windows \ infpub.dat, C: \ Windows \ cscc.dat.
Dezactivați (dacă este posibil) utilizarea serviciului WMI.
Postarea va fi actualizată pe măsură ce informațiile devin disponibile.

Top articole similare

Cum să afli dacă computerul tău a fost spart
Cum să afli dacă computerul tău a fost spart
Cum să calibrați și să configurați monitorul acasă
Cum să calibrați și să configurați monitorul acasă
Cum să vă calibrați monitorul pe Windows sau Mac
Cum să vă calibrați monitorul pe Windows sau Mac
Categorii:
© 2021 bumotors.ru. Cum se configurează smartphone-uri și PC-uri. Portal informativ.