Ai tashmë është infektuar kompjuterë me tre Mediat ruse dhe, me siguri, ai gjithashtu shkaktoi probleme me sistemet e informacionit në Ukrainë.
Tek faqeshënuesit
Pasditen e 24 tetorit, faqet e internetit të agjencisë së lajmeve Interfax dhe gazetës së Shën Peterburgut Fontanka ishin të hapura: përfaqësuesit e të dyjave raportuan se arsyeja ishte sulmi i virusit. Më vonë për sulmin e hakerëve në Ministrinë e Infrastrukturës së Ukrainës, metronë e Kievit dhe aeroportin e Odessa.
Nuk dihet ende me siguri nëse të gjitha këto sulme janë të lidhura, por të gjitha ndodhën afërsisht në të njëjtën kohë - u bënë të njohura për to brenda pak orësh nga njëri-tjetri. Në minimum, mediat ruse u sulmuan nga i njëjti virus i enkriptimit, thotë Group-IB, dhe sqaron se agjencitë qeveritare në Ukrainë gjithashtu mund të bëhen viktima të tij.
E quajnë vetë krijuesit e virusit Lepuri i keq. TJ shpjegon se çfarë dihet për virusin.
- Infeksioni Bad Rabbit të kujton majin e vitit 2017: ai preku kryesisht kompani në Rusi dhe Ukrainë, virusi u përhap shumë shpejt dhe hakerët kërkuan një shpërblim. Por Group-IB thotë se Bad Rabbit në vetvete nuk është si Petya.A ose WannaCry - ekspertët tani po studiojnë kompjuterët e infektuar;
- Virusi infekton kompjuterin duke enkriptuar skedarët në të. Ju nuk mund t'i qaseni ato. Shfaqet ekrani i kompjuterit mesazh i detajuar me udhëzime: në kanalin Group-IB Telegram ata publikuan foto të shembujve të kompjuterëve të tillë të infektuar;
Foto nga Group-IB
- Udhëzimet thonë se për të deshifruar skedarët ju duhet vetëm të vendosni një fjalëkalim. Por për ta marrë atë, duhet të bëni një rrugë të gjatë. Së pari, shkoni në një faqe të veçantë në caforssztxqzf2nm.onion në rrjetin e errët - për këtë do t'ju duhet Shfletuesi Tor. Duke gjykuar nga fotografitë e publikuara nga Group-IB, faqja është e njëjtë kudo;
- Emri i virusit tregohet në faqen e internetit - Bad Rabbit. Për të marrë fjalëkalimin për të deshifruar të dhënat, hakerët kërkojnë që të futni një "kod personal instalimi" - një shifër e gjatë nga një mesazh i shfaqur në ekranin e kompjuterit. Pas kësaj, do të shfaqet adresa e portofolit Bitcoin në të cilën dëshironi të transferoni para;
- Sipas faqes së internetit Bad Rabbit, ransomware kërkon një shpërblim prej 0.05 Bitcoin për çdo kompjuter. Me kursin e këmbimit që nga 24 tetori, kjo është afërsisht 283 dollarë ose 16.5 mijë rubla (Petya.A gjithashtu kërkoi rreth 300 dollarë);
- Përsëri, duke gjykuar nga faqja e internetit e virusit, ransomware jep vetëm dy ditë (48 orë) për të paguar shpërblimin fillestar. Pas skadimit të kësaj periudhe, çmimi për deshifrimin e skedarëve nuk dihet se sa;
- Nuk ishte e mundur të verifikohej adresa e portofolit Bitcoin në të cilën hakerët marrin fonde duke përdorur kodet e disponueshme nga fotografitë e Group-IB. Ndoshta ato janë përdorur tashmë, ndoshta kemi bërë një gabim - në fund të fundit, kodi është 356 karaktere;
Më 24 tetor, shumë përdorues në Ukrainë dhe Rusi u "vizituan nga Lepuri i Pashkëve". Vetëm ai nuk solli dhurata dhe gëzim, por sasi e madhe probleme. Dhe ata e quajtën atë në përputhje me rrethanat - Bad Rabbit (ose siç shkruajnë disa ekspertë - Bad Rabbit). Me këtë emër filloi të përhapet një tjetër virus ransomware.
Kush u lëndua?
Informacioni i parë për sulmin u shfaq në mëngjesin e 24 tetorit. Shumë kompani shtetërore në Ukrainë (metroja e Kievit, aeroporti i Odessa) dhe Rusia, si dhe disa media, u prekën. Sulmohen edhe institucionet financiare, por sulmuesit nuk kanë mundur t'i dëmtojnë. Nga ana tjetër, përfaqësuesit e ESET raportuan se problemet u shfaqën jo vetëm në Rusi dhe Ukrainë, por edhe në Turqi, Japoni dhe Bullgari.
Pas bllokimit të kompjuterit, malware informoi përdoruesin se për të zhbllokuar të dhënat, ai duhet të transferojë 0.05 Bitcoin (ekuivalente me 280 USD) në llogarinë e sulmuesit.
Si shpërndahet?
Asgjë nuk dihej për metodën e saktë të shpërndarjes së malware. Grupi-IB vuri në dukje se sulmi ishte përgatitur për disa ditë (megjithëse sipas përfaqësuesit të Kaspersky Lab, Costin Raiu, përgatitja zgjati shumë).
Megjithatë, dihet tashmë sot se malware u shpërnda nën maskën e zakonshme Përditësimet e Adobe Flash, pa shfrytëzuar defektin SMB që ishte shfrytëzuar më parë nga ransomware WannaCry dhe NotPetya. Por edhe këtu mendimet e ekspertëve ndryshojnë.
Group-IB beson se Bad Rabbit është një modifikim i NotPetya, në të cilin hakerat arritën të korrigjojnë gabimet në algoritmin e kriptimit. Në të njëjtën kohë, përfaqësuesit e Intezer theksojnë se kod me qëllim të keq vetëm 13% identike.
ESET dhe Kaspersky Lab kanë marrë një pozicion mjaft interesant: kompanitë nuk përjashtojnë që "lepuri i keq" mund të jetë një ndjekës i NotPetya, por nuk bëjnë deklarata të drejtpërdrejta për këtë.
Si të mbroni kompjuterin tuaj?
Aktiv ky moment Shpërndarja e ransomware tashmë është ndalur, por ekspertët vërejnë se ia vlen të kujdeseni për të mbrojtur kompjuterët tuaj nga infeksioni. Për ta bërë këtë, krijoni skedarët:
- C:\Windows\infpub.dat dhe C:\Windows\cscc.dat;
- hiqni të gjitha lejet e ekzekutimit prej tyre (bllokoni ato).
Mund të konfirmoj - Vaksinimi për
I ri Virus ransomware I keq Rabbit ("Bad Rabbit") sulmoi faqet e internetit të një numri mediash ruse të martën. Në veçanti u sulmuan sistemet e informacionit të agjencisë Interfax, si dhe serveri i Shën Petersburgut. portal lajmesh"Fontanka". Pas mesditës, Bad Rabbit filloi të përhapet në Ukrainë - virusi goditi rrjetet kompjuterike Metro Kiev, Ministria e Infrastrukturës, aeroport ndërkombëtar Odessa. Sulme të ngjashme janë vërejtur në Turqi dhe Gjermani, megjithëse në numër shumë më të vogël. TASS shpjegon se çfarë lloj virusi është ky, si të mbroheni nga ai dhe kush mund të qëndrojë pas tij.
Bad Rabbit është një virus ransomware
Malware infekton kompjuterin tuaj duke enkriptuar skedarët në të. Për të fituar qasje në to, virusi ofron të bëjë një pagesë në një faqe të caktuar në rrjetin e errët (kjo kërkon shfletuesin Tor). Për të zhbllokuar çdo kompjuter, hakerët kërkojnë të paguajnë 0.05 bitcoin, domethënë afërsisht 16 mijë rubla ose 280 dollarë. Për shpërblimin janë caktuar 48 orë - pas skadimit të kësaj periudhe shuma rritet.
Sipas laboratorit të mjekësisë ligjore kompjuterike të Group-IB, virusi ransomware u përpoq të sulmonte jo vetëm mediat ruse, por edhe bankat ruse nga top 20, por nuk ia doli.
Sipas laboratorit të virusit ESET, sulmi përdori keqdashje software Diskcoder.D - modifikim i ri enkriptues i njohur si Petya. versioni i mëparshëm Diskcoder u lançua në qershor 2017. Në Group-IB, virusi Bad Rabbit mund të ishte shkruar nga autori NotPetya (kjo version i përditësuar"Petit" 2016) ose pasardhësi i tij.
Malware është shpërndarë nga burimi 1dnscontrol.com. Ka IP 5.61.37.209, me këtë emri i domenit dhe adresa IP janë të lidhura me burimet e mëposhtme: webcheck01.net, webdefense1.net, safe-check.host, firewebmail.com, safeinbox.email, safe-dns1.net,” theksoi TASS në Group-IB në Pronarët e këtyre faqeve kanë regjistruar shumë burime, për shembull, të ashtuquajturat filialet farmaceutike - faqet që shesin ilaçe të falsifikuara përmes postës së padëshiruar "Është e mundur që ato janë përdorur për dërgimin e spamit dhe phishing", shtoi kompania.
Bad Rabbit u shpërnda nën maskën e një përditësimi të shtojcave Adobe Flash
Përdoruesit miratuan në mënyrë të pavarur instalimin e këtij përditësimi dhe kështu infektuan kompjuterin e tyre. "Nuk kishte fare dobësi, përdoruesit e drejtuan vetë skedarin," tha Sergei Nikitin, nënkryetar i laboratorit të forenzikës kompjuterike Group-IB. Pasi hyni rrjet lokal, Bad Rabbit vjedh hyrjet dhe fjalëkalimet nga memoria dhe mund të instalohet në mënyrë të pavarur në kompjuterë të tjerë.
Virusi është mjaft i lehtë për t'u shmangur
Për t'u mbrojtur nga infeksioni i Bad Rabbit, kompanitë duhet vetëm të bllokojnë domenet e specifikuara për përdoruesit e rrjetit të korporatave. Përdoruesit e shtëpisë duhet të përditësojnë Windows dhe produktin e tyre antivirus në mënyrë që ky skedar të zbulohet si keqdashës.
Përdoruesit e antivirusit të integruar të sistemit operativ Sistemet Windows — Windows Defender Antivirus - tashmë nga Bad Rabbit. “Ne po vazhdojmë të hetojmë dhe nëse është e nevojshme do të marrim masa shtesë për të mbrojtur përdoruesit tanë”, sekretarja e shtypit e TASS e Korporatës Microsoft në Rusi, Kristina Davydova.
Kaspersky Lab është përgatitur gjithashtu për të shmangur bërjen viktima të një epidemie të re. Prodhuesi i antivirusit i këshilloi të gjithë të bënin një kopje rezervë ( rezervë). Për më tepër, kompania rekomandoi bllokimin e ekzekutimit të skedarit c:\windows\infpub.dat, C:\Windows\cscc.dat, dhe gjithashtu, nëse është e mundur, ndalimin e përdorimit të shërbimit WMI.
Ministria e Telekomit dhe Komunikimeve Masive beson se sulmi ndaj mediave ruse nuk ishte në shënjestër
"Me gjithë respektin e duhur për mediat e mëdha, ky nuk është një strukturë kritike e infrastrukturës," kreu i Ministrisë së Telekomit dhe Komunikimeve Masive Nikolai Nikiforov, duke shtuar se disa një qëllim specifik hakerat nuk kishin gjasa të ndiqnin. Sipas mendimit të tij, sulme të tilla, në veçanti, shoqërohen me shkelje të masave të sigurisë kur lidheni me " interneti i hapur". "Me shumë gjasa kjo Sistemi i informacionit(Interfax - shënim TASS) nuk është i certifikuar,” sugjeroi ministri.
Vala kryesore e përhapjes së virusit tashmë ka përfunduar
“Tani mund të flasim për ndërprerjen e përhapjes aktive të virusit, epidemia e tretë pothuajse ka mbaruar edhe domeni përmes të cilit u shpërnda Bad Rabbit nuk po përgjigjet më”, në Group-IB. Sipas Sergei Nikitin, raste të izoluara të infektimit me virus janë të mundshme, veçanërisht në rrjetet e korporatave ku hyrjet dhe fjalëkalimet tashmë janë vjedhur, dhe virusi mund të instalohet vetë, pa ndërhyrjen e përdoruesit. Sidoqoftë, tashmë mund të flasim për fundin e valës kryesore të epidemisë së tretë të virusit ransomware në 2017.
Kujtojmë se në maj, kompjuterët në mbarë botën u sulmuan nga një virus. Informacioni u bllokua në kompjuterët e infektuar dhe sulmuesit kërkuan 600 dollarë në bitcoin për të zhbllokuar të dhënat. Në qershor, një virus tjetër i quajtur Petya sulmoi kompanitë e naftës, telekomunikacionit dhe financiare në Rusi, Ukrainë dhe disa vende të BE-së. Parimi i funksionimit të tij ishte i njëjtë: virusi kodonte informacionin dhe kërkonte një shpërblim prej 300 dollarësh në bitcoin.
Virusi ransomware, i njohur si Bad Rabbit, sulmoi dhjetëra mijëra kompjuterë në Ukrainë, Turqi dhe Gjermani. Por shumica e sulmeve ndodhën në Rusi. Çfarë lloj virusi është ky dhe si të mbroni kompjuterin tuaj, ne ju tregojmë në seksionin tonë Pyetje dhe Përgjigje.
Kush vuajti nga Bad Rabbit në Rusi?
Virusi i ransomware Bad Rabbit filloi të përhapet më 24 tetor. Ndër viktimat e veprimeve të tij janë agjencia e lajmeve Interfax dhe botimi Fontanka.ru.
Metroja e Kievit dhe aeroporti i Odessa gjithashtu pësuan nga veprimet e hakerëve. Pastaj u bë e njohur për një përpjekje për të hakuar sistemet e disa bankave ruse nga 20 më të mirat.
Sipas të gjitha indikacioneve, ky është një sulm i synuar rrjetet e korporatave, pasi përdoren metoda të ngjashme me ato të vërejtura në sulmin e virusit ExPetr.
Virusi i ri bën një kërkesë për të gjithë: një shpërblim prej 0.05 Bitcoin. Për sa i përket rublave, kjo është rreth 16 mijë rubla. Megjithatë, ai raporton se koha për të përmbushur këtë kërkesë është e kufizuar. Për çdo gjë jepen pak më shumë se 40 orë. Më tej, tarifa e shlyerjes do të rritet.
Çfarë është ky virus dhe si funksionon?
A e keni zbuluar tashmë se kush qëndron pas përhapjes së saj?
Ende nuk është bërë e mundur të zbulohet se kush qëndron pas këtij sulmi. Hetimi i çoi programuesit vetëm te emri i domenit.
Specialistët kompanitë antivirus vini re ngjashmërinë e virusit të ri me virusin Petya.
Por, ndryshe nga viruset e mëparshme këtë vit, këtë herë hakerët vendosën të largohen në një mënyrë të thjeshtë, raporton 1tv.ru.
"Me sa duket, kriminelët prisnin që në shumicën e kompanive përdoruesit të përditësonin kompjuterët e tyre pas këtyre dy sulmeve dhe vendosën të provonin një ilaç mjaft të lirë - Inxhinieri sociale, për të infektuar përdoruesit relativisht pa u vënë re në fillim, "tha Vyacheslav Zakorzhevsky, kreu i departamentit të kërkimit anti-virus në Kaspersky Lab.
Si ta mbroni kompjuterin tuaj nga një virus?
Sigurohuni që të bëni kopje rezervë sistemin tuaj. Nëse përdorni Kaspersky, ESET, Dr.Web ose analoge të tjera të njohura për mbrojtje, duhet të përditësoni menjëherë bazat e të dhënave. Gjithashtu për Kaspersky duhet të aktivizoni “Activity Monitoring” (System Watcher), dhe në ESET duhet të aplikoni nënshkrime me përditësimin 16295, informon talkdevice.
Nëse nuk keni programe antivirus, bllokoni ekzekutimin e skedarëve C:\Windows\infpub.dat dhe C:\Windows\cscc.dat. Kjo bëhet përmes redaktorit politikat e grupit ose AppLocker për Windows.
Ndaloni funksionimin e shërbimit - Windows Management Instrumentation (WMI). Nëpërmjet butonin e djathtë futni vetitë e shërbimit dhe zgjidhni modalitetin "Disabled" në "Lloji i fillimit".
Mund të jetë një paralajmërues i valës së tretë të viruseve të enkriptimit, beson Kaspersky Lab. Dy të parët ishin WannaCry dhe Petya sensacionale (aka NotPetya). Rreth shfaqjes së një malware të ri të rrjetit dhe si të mbroheni prej tij sulm i fuqishëm, MIR 24 u tha nga ekspertë të sigurisë kibernetike.
Kryesisht ata të prekur nga sulmi i lepurit të keq (“ lepur i keq") ndodhen në Rusi. Ka shumë më pak prej tyre në Ukrainë, Turqi dhe Gjermani, vuri në dukje kreu i departamentit të kërkimit antivirus në Kaspersky Lab. Vyacheslav Zakorzhevsky. Ndoshta, vendet e dyta më aktive ishin ato vende ku përdoruesit monitorojnë në mënyrë aktive burimet ruse të Internetit.
Kur malware infekton një kompjuter, ai kodon skedarët në të. Ai shpërndahet duke përdorur trafikun e internetit nga burimet e hakuara të internetit, ndër të cilat ishin kryesisht faqet e mediave federale ruse, si dhe kompjuterët dhe serverët e metrosë së Kievit, Ministrisë së Infrastrukturës së Ukrainës dhe Aeroportit Ndërkombëtar të Odessa. E rregulluar dhe përpjekje e pasuksesshme sulmoni bankat ruse nga 20 vendet e para.
Fakti që Fontanka, Interfax dhe një sërë botimesh të tjera u sulmuan nga Bad Rabbit u raportua dje nga Group-IB, një kompani e specializuar në siguria e informacionit. Analiza e kodit të virusit tregoi se Bad Rabbit është i lidhur me ransomware-in Not Petya, i cili në qershor këtë vit sulmoi energjinë, telekomunikacionin dhe kompanitë financiare në Ukrainë.
Sulmi u përgatit për disa ditë dhe, pavarësisht shkallës së infeksionit, ransomware kërkoi sasi relativisht të vogla nga viktimat e sulmit - 0,05 bitcoin (që është rreth 283 dollarë ose 15,700 rubla). 48 orë janë caktuar për shpengim. Pas skadimit të kësaj periudhe, shuma rritet.
Specialistët e Group-IB besojnë se, me shumë mundësi, hakerët nuk kanë ndërmend të bëjnë para. Qëllimi i tyre i mundshëm është të kontrollojnë nivelin e mbrojtjes së rrjeteve të infrastrukturës kritike të ndërmarrjeve, departamentet qeveritare dhe kompanitë private.
Është e lehtë të bëhesh viktimë e një sulmi
Kur një përdorues viziton një faqe të infektuar, kodi me qëllim të keq transmeton informacion rreth tij server në distancë. Më pas, shfaqet një dritare pop-up që ju kërkon të shkarkoni një përditësim për Flash Player, e cila është e rreme. Nëse përdoruesi miraton operacionin "Install", një skedar do të shkarkohet në kompjuter, i cili nga ana tjetër do të nisë enkriptuesin Win32/Filecoder.D në sistem. Më pas, qasja në dokumente do të bllokohet dhe një mesazh shpërblimi do të shfaqet në ekran.
Virusi Bad Rabbit skanon rrjetin për të hapur burimet e rrjetit, pas së cilës lëshon një mjet në makinën e infektuar për të mbledhur kredencialet dhe kjo "sjellje" ndryshon nga paraardhësit e saj.
Specialistët nga zhvilluesi ndërkombëtar i softuerit antivirus Eset NOD 32 konfirmuan se Bad Rabbit është një modifikim i ri Virusi Petya, parimi i funksionimit të të cilit ishte i njëjtë - virusi kodonte informacionin dhe kërkonte një shpërblim në bitcoin (shuma ishte e krahasueshme me Bad Rabbit - 300 dollarë). Malware i ri rregullon gabimet në enkriptimin e skedarëve. Kodi i përdorur në virus ka për qëllim të enkriptojë disqet logjike, disqet e jashtme USB dhe imazhe CD/DVD, si dhe bootable ndarjet e sistemit disk.
Duke folur për audiencën që u sulmua nga Bad Rabbit, Shefi i Mbështetjes së Shitjeve në ESET Rusi Vitaly Zemskikh deklaroi se 65% e sulmeve u ndalën produkte antivirus kompanitë janë të vendosura në Rusi. Pjesa tjetër e gjeografisë së virusit të ri duket kështu:
Ukrainë – 12.2%
Bullgaria – 10.2%
Turqia – 6.4%
Japonia – 3.8%
të tjerët - 2.4%
“Ransomware përdor softuer të mirënjohur me burim i hapur thirrur DiskCryptor për të enkriptuar disqet e viktimës. Ekrani i mesazheve të kyçjes që shikon përdoruesi është pothuajse identik me ekranet e kyçjes Petya dhe NotPetya. Sidoqoftë, kjo është e vetmja ngjashmëri që kemi parë deri më tani midis dy malware. Në të gjitha aspektet e tjera, BadRabbit është një lloj krejtësisht i ri dhe unik ransomware,” beson ai nga ana tjetër. Drejtor teknik kompanitë Pika e kontrollit Teknologjitë e Softuerit Nikita Durov.
Si të mbroheni nga lepuri i keq?
Mbajtësit sistemet operative Përdoruesit që nuk janë të Windows mund të marrin frymë lehtësisht, pasi virusi i ri ransomware i bën të cenueshëm vetëm kompjuterët me këtë "bosht".
Për të mbrojtur kundër malware të rrjetit, ekspertët rekomandojnë krijimin e skedarit C:\windows\infpub.dat në kompjuterin tuaj dhe vendosjen e të drejtave vetëm për lexim për të - kjo është e lehtë për t'u bërë në seksionin e administrimit. Në këtë mënyrë ju do të bllokoni ekzekutimin e skedarit dhe të gjitha dokumentet që vijnë nga jashtë nuk do të kodohen edhe nëse janë të infektuar. Për të shmangur humbjen e të dhënave të vlefshme në rast infektimi me virus, bëni një kopje rezervë tani. Dhe, sigurisht, ia vlen të kujtojmë se pagimi i një shpërblimi është një kurth që nuk garanton që kompjuteri juaj do të zhbllokohet.
Kujtojmë se virusi u përhap në të paktën 150 vende të botës në maj të këtij viti. Ai e kodoi informacionin dhe kërkoi të paguante një shpërblim, sipas burimeve të ndryshme, nga 300 deri në 600 dollarë. Mbi 200 mijë përdorues u prekën prej tij. Sipas një versioni, krijuesit e tij morën si bazë malware NSA e SHBA-së Blu e Përjetshme.
Alla Smirnova foli me ekspertë
