Më 24 tetor, shumë përdorues në Ukrainë dhe Rusi u "vizituan nga Lepuri i Pashkëve". Vetëm ai nuk solli dhurata dhe gëzim, por sasi e madhe probleme. Dhe ata e emëruan atë në përputhje me rrethanat - Lepuri i keq(ose siç shkruajnë disa ekspertë - BadRabbit). Ishte nën këtë emër që një tjetër virus ransomware filloi të përhapet.
Kush u lëndua?
Informacioni i parë për sulmin u shfaq në mëngjesin e 24 tetorit. Shumë kompani shtetërore në Ukrainë (metroja e Kievit, aeroporti i Odessa) dhe Rusia, si dhe disa media, u prekën. Sulmohen edhe institucionet financiare, por sulmuesit nuk kanë mundur t'i dëmtojnë. Nga ana tjetër, përfaqësuesit e ESET raportuan se problemet u shfaqën jo vetëm në Rusi dhe Ukrainë, por edhe në Turqi, Japoni dhe Bullgari.
Pas bllokimit të kompjuterit, malware informoi përdoruesin se për të zhbllokuar të dhënat, ai duhet të transferojë 0.05 bitcoin (ekuivalente me 280 USD) në llogarinë e sulmuesit.
Si shpërndahet?
Asgjë nuk dihej për metodën e saktë të shpërndarjes së malware. Grupi-IB vuri në dukje se sulmi ishte përgatitur për disa ditë (megjithëse sipas përfaqësuesit të Kaspersky Lab, Costin Raiu, përgatitja zgjati shumë).
Megjithatë, dihet tashmë sot se malware u shpërnda nën maskën e zakonshme Përditësimet e Adobe Flash, pa shfrytëzuar defektin SMB që ishte shfrytëzuar më parë nga ransomware WannaCry dhe NotPetya. Por edhe këtu mendimet e ekspertëve ndryshojnë.
Group-IB beson se Bad Rabbit është një modifikim i NotPetya, në të cilin hakerat arritën të korrigjojnë gabimet në algoritmin e kriptimit. Në të njëjtën kohë, përfaqësuesit e Intezer theksojnë se kod me qëllim të keq vetëm 13% identike.
ESET dhe Kaspersky Lab kanë marrë një pozicion mjaft interesant: kompanitë nuk përjashtojnë që "lepuri i keq" mund të jetë një ndjekës i NotPetya, por ata nuk bëjnë deklarata të drejtpërdrejta për këtë.
Si ta mbroni kompjuterin tuaj?
Aktiv ky moment Shpërndarja e ransomware tashmë është ndalur, por ekspertët vërejnë se ia vlen të kujdeseni për të mbrojtur kompjuterët tuaj nga infeksioni. Për ta bërë këtë, krijoni skedarët:
- C:\Windows\infpub.dat dhe C:\Windows\cscc.dat;
- hiqni të gjitha lejet e ekzekutimit prej tyre (bllokoni ato).
Mund të konfirmoj - Vaksinimi për
Përshëndetje, të dashur vizitorë dhe të ftuar të këtij blogu! Sot një tjetër virus ransomware është shfaqur në botë me emrin: " Lepuri i keq» — « Lepuri i keq". Ky është ransomware i tretë i profilit të lartë në 2017. Të mëparshmet ishin dhe (aka NotPetya).
Lepuri i keq – Kush e ka vuajtur tashmë dhe po kërkon shumë para?
Deri më tani, disa media ruse dyshohet se kanë vuajtur nga ky ransomware - mes tyre Interfax dhe Fontanka. Aeroporti i Odessa raporton gjithashtu një sulm hakeri - ndoshta i lidhur me të njëjtin Lepur të Keq.
Për deshifrimin e skedarëve, sulmuesit kërkojnë 0.05 bitcoin, i cili me kursin aktual të këmbimit është afërsisht i barabartë me 283 dollarë ose 15,700 rubla.
Rezultatet e hulumtimit të Kaspersky Lab tregojnë se sulmi nuk përdor shfrytëzime. Bad Rabbit përhapet përmes faqeve të internetit të infektuara: përdoruesit shkarkojnë një instalues të rremë Adobe Flash, e lëshojnë manualisht dhe në këtë mënyrë infektojnë kompjuterët e tyre.
Sipas Kaspersky Lab, ekspertët po hetojnë këtë sulm dhe po kërkojnë mënyra për ta luftuar atë, si dhe për mundësinë e deshifrimit të skedarëve të prekur nga ransomware.
Shumica e viktimave të sulmit janë në Rusi. Dihet gjithashtu se sulme të ngjashme ndodhin në Ukrainë, Turqi dhe Gjermani, por në numër shumë më të vogël. Kriptograf Lepuri i keq po përhapet përmes një numri të mediave ruse të infektuara.
Kapersky Lab beson se të gjitha shenjat tregojnë se ky është një sulm i synuar ndaj rrjeteve të korporatave. Përdoren metoda të ngjashme me ato që kemi vërejtur në sulmin ExPetr, por ne nuk mund të konfirmojmë lidhjen me ExPetr.
Dihet tashmë që produktet e Kaspersky Lab zbulojnë një nga komponentët e malware duke përdorur një shërbim cloud Kaspersky Security Rrjeti si UDS:DangerousObject.Multi.Generic, dhe gjithashtu me duke përdorur Sistemin Watcher si PDM:Trojan.Win32.Generic.
Si të mbroheni nga virusi Bad Rabbit?
Për të mos u bërë viktimë e epidemisë së re të “Bad Bunny”, “ Kaspersky Lab"Ne rekomandojmë të bëni sa më poshtë:
Nëse keni të instaluar Kaspersky Anti-Virus, atëherë:
- Kontrolloni nëse juaji zgjidhje mbrojtëse komponentët e Rrjetit të Sigurisë Kaspersky dhe Monitorit të Aktivitetit (i njohur ndryshe si System Watcher). Nëse jo, sigurohuni që ta aktivizoni.
Për ata që nuk e kanë këtë produkt:
- Blloko ekzekutimin e skedarit c:\windows\infpub.dat, C:\Windows\cscc.dat. Kjo mund të bëhet përmes.
- Çaktivizoni (nëse është e mundur) përdorimin e shërbimit WMI.
Ende shumë këshilla të rëndësishme nga une:
Bëje gjithmonë rezervë (backup - kopje rezervë ) skedarë që janë të rëndësishëm për ju. Aktiv media e lëvizshme, V shërbimet cloud! Kjo do të kursejë nervat, paratë dhe kohën tuaj!
Uroj që të mos e kapni këtë infeksion në kompjuterin tuaj. Keni një internet të pastër dhe të sigurt!
Në kontakt me
Shokët e klasës
Vetëm një ditë tjetër, në shkallë të gjerë sulm hakeri virusi i ri ransomware Bad Rabbit, i njohur gjithashtu si Diskcoder.D. Virusi në aktualisht sulmon rrjetet e korporatave të organizatave të mëdha dhe të mesme, duke bllokuar të gjitha rrjetet. Sot do t'ju tregojmë se çfarë është ky Trojan dhe si mund të mbroheni prej tij.
Virusi Bad Rabbit funksionon sipas një skeme standarde për ransomware: pasi të hyjë në sistem, ai kodon skedarët për dekriptimin e të cilave hakerët kërkojnë 0,05 bitcoin, që me kursin e këmbimit është 283 dollarë (ose 15,700 rubla). Kjo raportohet dritare e veçantë, ku në të vërtetë duhet të futni çelësin e blerë. Kërcënimi i përket llojit Trojan.Win32.Generic, por përmban edhe komponentë të tjerë, si DangerousObject.Multi.Generic dhe Ransom.Win32.Gen.ftl.
Është ende e vështirë të gjurmosh plotësisht të gjitha burimet e infeksionit, por ekspertët tani po punojnë për këtë.
Me sa duket, kërcënimi arrin në PC përmes faqeve të infektuara të konfiguruara për të ridrejtuar, ose nën maskën e përditësimeve të rreme për shtojcat e njohura si Adobe Flash. Lista e vendeve të tilla po rritet vetëm.
Duhet të theksohet menjëherë se për momentin gjithçka laboratorët antivirus Ne filluam të analizojmë këtë Trojan. Nëse kërkoni në mënyrë specifike informacione për heqjen e virusit, atëherë ai, si i tillë, nuk ekziston. Le të hedhim poshtë menjëherë këshillat standarde, të tilla si të bëni një kopje rezervë të sistemit, një pikë kthimi, fshini skedarë të caktuar. Nëse nuk keni kursime, atëherë çdo gjë tjetër nuk funksionon, për shkak të specifikave të virusit, llogariten këto pikë.
Ekziston mundësia që së shpejti të shpërndahen deshifruesit e bërë nga amatorët për Bad Rabbit - nëse i përdorni këto programe apo jo, kjo është biznesi juaj. Siç tregoi ransomware i mëparshëm Petya, kjo ndihmon pak.
Por është e mundur të parandaloni kërcënimin dhe ta hiqni atë ndërsa përpiqeni të futeni në PC. Bëhu i pari që dëgjon për epidemi virale reagoi Laboratorët e Kaspersky dhe ESET, të cilat tashmë po bllokojnë përpjekjet për ndërhyrje.
Shfletuesi Google Chrome duke përfshirë fillimin e identifikimit të burimeve të infektuara dhe paralajmërimin për rrezikun e tyre. Ja çfarë duhet të bëni së pari për t'u mbrojtur nga BadRabbit:
1. Nëse përdorni Kaspersky, ESET, Dr.Web ose të tjerë për mbrojtje analoge të njohur, atëherë duhet të përditësoni bazat e të dhënave. Për Kaspersky, duhet gjithashtu të aktivizoni System Watcher, dhe për ESET, aplikoni nënshkrime me përditësimin 16295.
2. Nëse nuk përdorni antivirus, atëherë duhet të bllokoni ekzekutimin e skedarëve C:\Windows\infpub.dat dhe C:\Windows\cscc.dat. Kjo bëhet duke përdorur redaktorin politikat e grupit, ose programet AppLocker për Windows.
3. Nëse është e mundur, ia vlen të çaktivizoni ekzekutimin e shërbimit - Windows Management Instrumentation (WMI). Në versionin 10, shërbimi quhet "Toolkit Menaxhimi i Windows" Duke përdorur butonin e djathtë, futni vetitë e shërbimit dhe zgjidhni modalitetin "Disabled" në "Lloji i fillimit".
duhet bërë kopje rezervë sistemin tuaj. Në mënyrë ideale, një kopje duhet të ruhet gjithmonë në media të lidhura.
Si përfundim, duhet të theksohet gjëja më e rëndësishme - nuk duhet të paguani shpërblimin, pavarësisht se çfarë keni koduar. Ky lloj veprimi vetëm inkurajon mashtruesit të krijojnë të reja. sulmet e virusit. Monitoroni forumet kompanitë antivirus, e cila shpresoj se së shpejti do të studiojë virusin Bad Rabbit dhe do të gjejë zgjidhjen e duhur. Sigurohuni që të ndiqni hapat e mësipërm për të mbrojtur sistemin tuaj operativ. Nëse hasni ndonjë vështirësi në kryerjen e tyre, ju lutemi shkruani në komente.
Virusi ransomware, i njohur si Bad Rabbit, sulmoi dhjetëra mijëra kompjuterë në Ukrainë, Turqi dhe Gjermani. Por shumica e sulmeve ndodhën në Rusi. Çfarë lloj virusi është ky dhe si të mbroni kompjuterin tuaj, ne ju tregojmë në seksionin tonë Pyetje dhe Përgjigje.
Kush vuajti nga Bad Rabbit në Rusi?
Virusi i ransomware Bad Rabbit filloi të përhapet më 24 tetor. Ndër viktimat e veprimeve të tij janë agjencia e lajmeve Interfax dhe botimi Fontanka.ru.
Metroja e Kievit dhe aeroporti i Odessa gjithashtu pësuan nga veprimet e hakerëve. Pastaj u bë e njohur për një përpjekje për të hakuar sistemet e disa bankave ruse nga 20 më të mirat.
Sipas të gjitha indikacioneve, ky është një sulm i synuar në rrjetet e korporatave, pasi përdor metoda të ngjashme me ato të vërejtura në sulmin e virusit ExPetr.
Virusi i ri bën një kërkesë për të gjithë: një shpërblim prej 0.05 bitcoin. Për sa i përket rublave, kjo është rreth 16 mijë rubla. Megjithatë, ai raporton se koha për të përmbushur këtë kërkesë është e kufizuar. Për çdo gjë jepen pak më shumë se 40 orë. Më tej, tarifa e shlyerjes do të rritet.
Çfarë është ky virus dhe si funksionon?
A e keni zbuluar tashmë se kush qëndron pas përhapjes së saj?
Ende nuk është bërë e mundur të zbulohet se kush qëndron pas këtij sulmi. Hetimi i çoi programuesit vetëm te emri i domenit.
Ekspertët nga kompanitë antivirus vërejnë ngjashmërinë e virusit të ri me virusin Petya.
Por, ndryshe nga viruset e mëparshme këtë vit, këtë herë hakerët vendosën të largohen në një mënyrë të thjeshtë, raporton 1tv.ru.
"Me sa duket, kriminelët prisnin që në shumicën e kompanive përdoruesit të përditësonin kompjuterët e tyre pas këtyre dy sulmeve dhe vendosën të provonin një ilaç mjaft të lirë - Inxhinieri sociale, për të infektuar përdoruesit relativisht pa u vënë re në fillim, "tha Vyacheslav Zakorzhevsky, kreu i departamentit të kërkimit antivirus në Kaspersky Lab.
Si ta mbroni kompjuterin tuaj nga një virus?
Sigurohuni që të bëni kopje rezervë të sistemit tuaj. Nëse përdorni Kaspersky, ESET, Dr.Web ose analoge të tjera të njohura për mbrojtje, duhet të përditësoni menjëherë bazat e të dhënave. Gjithashtu, për Kaspersky duhet të aktivizoni “Activity Monitoring” (System Watcher), dhe në ESET duhet të aplikoni nënshkrime me përditësimin 16295, informon talkdevice.
Nëse nuk keni programe antivirus, bllokoni ekzekutimin e skedarëve C:\Windows\infpub.dat dhe C:\Windows\cscc.dat. Kjo bëhet përmes Redaktorit të Politikave të Grupit ose AppLocker për Windows.
Ndaloni funksionimin e shërbimit - Windows Management Instrumentation (WMI). përmes butonin e djathtë futni vetitë e shërbimit dhe zgjidhni modalitetin "Disabled" në "Lloji i fillimit".
I ri Virus i keq ransomware lepur (" Lepuri i keq") sulmoi të martën faqet e internetit të një numri mediash ruse. Në veçanti, sistemet e informacionit të agjencisë Interfax, si dhe serveri i Shën Petersburgut. portal lajmesh"Fontanka". Pas mesditës, Bad Rabbit filloi të përhapet në Ukrainë - virusi goditi rrjetet kompjuterike Metro Kiev, Ministria e Infrastrukturës, aeroport ndërkombëtar Odessa. Sulme të ngjashme janë vërejtur në Turqi dhe Gjermani, megjithëse në numër shumë më të vogël. TASS shpjegon se çfarë lloj virusi është ky, si të mbroheni nga ai dhe kush mund të qëndrojë pas tij.
Bad Rabbit është një virus ransomware
Malware infekton kompjuterin tuaj duke enkriptuar skedarët në të. Për të fituar qasje në to, virusi ofron të bëjë një pagesë në një faqe të caktuar në rrjetin e errët (për këtë do t'ju duhet Shfletuesi Tor). Për të zhbllokuar çdo kompjuter, hakerët kërkojnë të paguajnë 0.05 bitcoin, domethënë afërsisht 16 mijë rubla ose 280 dollarë. Për shpërblimin janë caktuar 48 orë - pas skadimit të kësaj periudhe shuma rritet.
Sipas laboratorit të forenzikës kompjuterike të Group-IB, virusi ransomware u përpoq të sulmonte jo vetëm mediat ruse, por edhe bankat ruse nga top 20, por nuk ia doli.
Sipas laboratorit të virusit ESET, sulmi përdori keqdashje software Diskcoder.D - modifikim i ri enkriptues i njohur si Petya. versioni i mëparshëm Diskcoder u lançua në qershor 2017. Në Group-IB, virusi Bad Rabbit mund të ishte shkruar nga autori NotPetya (kjo version i përditësuar"Petit" 2016) ose pasardhësi i tij.
Malware është shpërndarë nga burimi 1dnscontrol.com. Ka IP 5.61.37.209, me këtë emri i domenit dhe adresa IP janë të lidhura me burimet e mëposhtme: webcheck01.net, webdefense1.net, safe-check.host, firewebmail.com, safeinbox.email, safe-dns1.net,” theksoi TASS në Group-IB në Pronarët e këtyre faqeve kanë regjistruar shumë burime, për shembull, të ashtuquajturat filialet farmaceutike - faqet që shesin ilaçe të falsifikuara përmes postës së padëshiruar "Është e mundur që ato janë përdorur për dërgimin e spamit dhe phishing", shtoi kompania.
Bad Rabbit u shpërnda nën maskën e një përditësimi të shtojcave Adobe Flash
Përdoruesit miratuan në mënyrë të pavarur instalimin e këtij përditësimi dhe kështu infektuan kompjuterin e tyre. "Nuk kishte fare dobësi, përdoruesit e drejtuan vetë skedarin," tha Sergei Nikitin, nënkryetar i laboratorit të forenzikës kompjuterike Group-IB. Pasi hyni rrjet lokal, Bad Rabbit vjedh hyrjet dhe fjalëkalimet nga memoria dhe mund të instalohet në mënyrë të pavarur në kompjuterë të tjerë.
Virusi është mjaft i lehtë për t'u shmangur
Për t'u mbrojtur nga infeksioni i Bad Rabbit, kompanitë duhet vetëm të bllokojnë domenet e specifikuara për përdoruesit e rrjetit të korporatave. Përdoruesit e shtëpisë duhet të përditësojnë Windows dhe produkt antivirus- atëherë ky skedar do të zbulohet si keqdashës.
Përdoruesit e integruar të antivirusit sistemi operativ Dritaret - Windows Defender Antivirus - tashmë nga Bad Rabbit. “Ne po vazhdojmë të hetojmë dhe nëse është e nevojshme do të marrim masa shtesë për të mbrojtur përdoruesit tanë”, sekretarja e shtypit e TASS e Korporatës Microsoft në Rusi, Kristina Davydova.
Kaspersky Lab është përgatitur gjithashtu për të shmangur bërjen viktima të një epidemie të re. Prodhuesi i antivirusit i këshilloi të gjithë të bënin një kopje rezervë ( rezervë). Për më tepër, kompania rekomandoi bllokimin e ekzekutimit të skedarit c:\windows\infpub.dat, C:\Windows\cscc.dat, dhe gjithashtu, nëse është e mundur, ndalimin e përdorimit të shërbimit WMI.
Ministria e Telekomit dhe Komunikimeve Masive beson se sulmi ndaj mediave ruse nuk ishte në shënjestër
"Me gjithë respektin e duhur për mediat e mëdha, ky nuk është një strukturë kritike e infrastrukturës," kreu i Ministrisë së Telekomit dhe Komunikimeve Masive Nikolai Nikiforov, duke shtuar se disa një qëllim specifik hakerat nuk kishin gjasa të ndiqnin. Sipas mendimit të tij, sulme të tilla, në veçanti, shoqërohen me shkelje të masave të sigurisë kur lidheni me " interneti i hapur". "Me shumë gjasa kjo Sistemi i informacionit(Interfax - shënim TASS) nuk është i certifikuar,” sugjeroi ministri.
Vala kryesore e përhapjes së virusit tashmë ka përfunduar
“Tani mund të flasim për ndërprerjen e përhapjes aktive të virusit, epidemia e tretë pothuajse ka mbaruar edhe domeni përmes të cilit u shpërnda Bad Rabbit nuk po përgjigjet më”, në Group-IB. Sipas Sergei Nikitin, raste të izoluara të infeksionit me virus janë të mundshme, veçanërisht në rrjetet e korporatave, ku hyrjet dhe fjalëkalimet tashmë janë vjedhur, dhe virusi mund të instalohet vetë, pa ndërhyrjen e përdoruesit. Sidoqoftë, tashmë mund të flasim për fundin e valës kryesore të epidemisë së tretë të virusit ransomware në 2017.
Kujtojmë se në maj, kompjuterët në mbarë botën u sulmuan nga një virus. Informacioni u bllokua në kompjuterët e infektuar dhe sulmuesit kërkuan 600 dollarë në bitcoin për të zhbllokuar të dhënat. Në qershor, një virus tjetër i quajtur Petya sulmoi kompanitë e naftës, telekomunikacionit dhe financiare në Rusi, Ukrainë dhe disa vende të BE-së. Parimi i funksionimit të tij ishte i njëjtë: virusi kodonte informacionin dhe kërkonte një shpërblim prej 300 dollarësh në bitcoin.
