Virusi ransomware i njohur si Lepuri i keq, sulmoi dhjetëra mijëra kompjuterë në Ukrainë, Turqi dhe Gjermani. Por shumica e sulmeve ndodhën në Rusi. Çfarë lloj virusi është ky dhe si të mbroni kompjuterin tuaj, ne ju tregojmë në seksionin tonë Pyetje dhe Përgjigje.
Kush vuajti nga Bad Rabbit në Rusi?
Virusi ransomware Bad Rabbit filloi të përhapet më 24 tetor. Ndër viktimat e veprimeve të tij janë agjencia e lajmeve Interfax dhe botimi Fontanka.ru.
Metroja e Kievit dhe aeroporti i Odessa gjithashtu pësuan nga veprimet e hakerëve. Pastaj u bë e njohur për një përpjekje për të hakuar sistemet e disa bankave ruse nga 20 më të mirat.
Sipas të gjitha indikacioneve, ky është një sulm i synuar ndaj rrjeteve të korporatave, pasi përdor metoda të ngjashme me ato të vërejtura në sulmin e virusit ExPetr.
Virusi i ri bën një kërkesë për të gjithë: një shpërblim prej 0.05 Bitcoin. Për sa i përket rublave, kjo është rreth 16 mijë rubla. Megjithatë, ai raporton se koha për të përmbushur këtë kërkesë është e kufizuar. Për çdo gjë jepen pak më shumë se 40 orë. Më tej, tarifa e shlyerjes do të rritet.
Çfarë është ky virus dhe si funksionon?
A e keni zbuluar tashmë se kush qëndron pas përhapjes së saj?
Ende nuk është bërë e mundur të zbulohet se kush qëndron pas këtij sulmi. Hetimi i çoi programuesit vetëm te emri i domenit.
Ekspertët nga kompanitë antivirus vërejnë ngjashmërinë e virusit të ri me virusin Petya.
Por, ndryshe nga viruset e mëparshme këtë vit, këtë herë hakerët vendosën të largohen në një mënyrë të thjeshtë, raporton 1tv.ru.
"Me sa duket, kriminelët prisnin që në shumicën e kompanive përdoruesit të përditësonin kompjuterët e tyre pas këtyre dy sulmeve dhe vendosën të provonin një ilaç mjaft të lirë - Inxhinieri sociale, për të infektuar përdoruesit relativisht pa u vënë re në fillim, "tha Vyacheslav Zakorzhevsky, kreu i departamentit të kërkimit anti-virus në Kaspersky Lab.
Si ta mbroni kompjuterin tuaj nga një virus?
Sigurohuni që të bëni kopje rezervë të sistemit tuaj. Nëse përdorni Kaspersky, ESET, Dr.Web ose analoge të tjera të njohura për mbrojtje, duhet të përditësoni menjëherë bazat e të dhënave. Gjithashtu, për Kaspersky duhet të aktivizoni “Activity Monitoring” (System Watcher), dhe në ESET duhet të aplikoni nënshkrime me përditësimin 16295, informon talkdevice.
Nëse nuk keni programe antivirus, bllokoni ekzekutimin e skedarëve C:\Windows\infpub.dat dhe C:\Windows\cscc.dat. Kjo bëhet përmes Redaktorit të Politikave të Grupit ose AppLocker për Windows.
Ndaloni funksionimin e shërbimit - Windows Management Instrumentation (WMI). përmes butonin e djathtë futni vetitë e shërbimit dhe zgjidhni modalitetin "Disabled" në "Lloji i fillimit".
I ri Virus ransomware I keq Rabbit ("Bad Rabbit") sulmoi faqet e internetit të një numri mediash ruse të martën. Në veçanti u sulmuan sistemet e informacionit të agjencisë Interfax, si dhe serveri i Shën Petersburgut. portal lajmesh"Fontanka". Pas mesditës, Bad Rabbit filloi të përhapet në Ukrainë - virusi goditi rrjetet kompjuterike Metro Kiev, Ministria e Infrastrukturës, aeroport ndërkombëtar Odessa. Sulme të ngjashme janë vërejtur në Turqi dhe Gjermani, megjithëse në numër shumë më të vogël. TASS shpjegon se çfarë lloj virusi është ky, si të mbroheni nga ai dhe kush mund të qëndrojë pas tij.
Bad Rabbit është një virus ransomware
Malware infekton kompjuterin tuaj duke enkriptuar skedarët në të. Për të fituar qasje në to, virusi ofron të bëjë një pagesë në një faqe të caktuar në rrjetin e errët (për këtë do t'ju duhet Shfletuesi Tor). Për të zhbllokuar çdo kompjuter, hakerët kërkojnë të paguajnë 0.05 bitcoin, domethënë afërsisht 16 mijë rubla ose 280 dollarë. Për shpërblimin janë caktuar 48 orë - pas skadimit të kësaj periudhe shuma rritet.
Sipas laboratorit të forenzikës kompjuterike të Group-IB, virusi ransomware u përpoq të sulmonte jo vetëm mediat ruse, por edhe bankat ruse nga top 20, por nuk ia doli.
Sipas laboratorit të virusit ESET, sulmi përdori keqdashje software Diskcoder.D - modifikim i ri enkriptues i njohur si Petya. versioni i mëparshëm Diskcoder u lançua në qershor 2017. Në Group-IB, kjo Virus i keq Rabbit mund të ishte shkruar nga NotPetya (kjo është version i përditësuar"Petit" 2016) ose pasardhësi i tij.
Malware u shpërnda nga burimi 1dnscontrol.com. Ka IP 5.61.37.209, burimet e mëposhtme janë të lidhura me këtë emër domeni dhe adresë IP: webcheck01.net, webdefense1.net, safe-check.host, firewebmail.com, email safeinbox, safe-dns1.net" - TASS në Group-IB. Kompania vuri në dukje se shumë burime u janë regjistruar pronarëve të këtyre faqeve, për shembull, të ashtuquajturat filialet farmaceutike - faqet që shesin ilaçe të falsifikuara përmes postës së padëshiruar. “Është e mundur që ato janë përdorur për të dërguar spam dhe phishing,” shtoi kompania.
Bad Rabbit u shpërnda nën maskën e një përditësimi të shtojcave Adobe Flash
Përdoruesit miratuan në mënyrë të pavarur instalimin e këtij përditësimi dhe kështu infektuan kompjuterin e tyre. "Nuk kishte fare dobësi, përdoruesit e drejtuan vetë skedarin," tha Sergei Nikitin, nënkryetar i laboratorit të forenzikës kompjuterike Group-IB. Pasi hyni rrjet lokal, Bad Rabbit vjedh hyrjet dhe fjalëkalimet nga memoria dhe mund të instalohet në mënyrë të pavarur në kompjuterë të tjerë.
Virusi është mjaft i lehtë për t'u shmangur
Për t'u mbrojtur nga infeksioni i Bad Rabbit, kompanitë duhet vetëm të bllokojnë domenet e specifikuara për përdoruesit e rrjetit të korporatave. Përdoruesit e shtëpisë duhet të përditësojnë Windows dhe produktin e tyre antivirus në mënyrë që ky skedar të zbulohet si keqdashës.
Përdoruesit e antivirusit të integruar të sistemit operativ Windows - Windows Defender Antivirus - tashmë nga Bad Rabbit. “Ne po vazhdojmë të hetojmë dhe nëse është e nevojshme do të marrim masat shtesë për të mbrojtur përdoruesit tanë”, sekretarja e shtypit e TASS e Korporatës Microsoft në Rusi, Kristina Davydova.
Kaspersky Lab është përgatitur gjithashtu për të shmangur bërjen viktima të një epidemie të re. Prodhuesi i antivirusit i këshilloi të gjithë të bënin një kopje rezervë ( rezervë). Për më tepër, kompania rekomandoi bllokimin e ekzekutimit të skedarit c:\windows\infpub.dat, C:\Windows\cscc.dat, dhe gjithashtu, nëse është e mundur, ndalimin e përdorimit të shërbimit WMI.
Ministria e Telekomit dhe Komunikimeve Masive beson se sulmi ndaj mediave ruse nuk ishte në shënjestër
"Me gjithë respektin e duhur për mediat e mëdha, ky nuk është një strukturë kritike e infrastrukturës," kreu i Ministrisë së Telekomit dhe Komunikimeve Masive Nikolai Nikiforov, duke shtuar se disa një qëllim specifik hakerat nuk kishin gjasa të ndiqnin. Sipas mendimit të tij, sulme të tilla, në veçanti, shoqërohen me shkelje të masave të sigurisë kur lidheni me " interneti i hapur". "Me shumë gjasa kjo Sistemi i informacionit(Interfax - shënim TASS) nuk është i certifikuar,” sugjeroi ministri.
Vala kryesore e përhapjes së virusit tashmë ka përfunduar
“Tani mund të flasim për ndërprerjen e përhapjes aktive të virusit, epidemia e tretë pothuajse ka përfunduar edhe domeni përmes të cilit u shpërnda Bad Rabbit nuk po përgjigjet më”, në Group-IB. Sipas Sergei Nikitin, raste të izoluara të infeksionit me virus janë të mundshme, veçanërisht në rrjetet e korporatave, ku hyrjet dhe fjalëkalimet tashmë janë vjedhur dhe virusi mund të instalohet vetë, pa ndërhyrjen e përdoruesit. Sidoqoftë, tashmë mund të flasim për fundin e valës kryesore të epidemisë së tretë të virusit ransomware në 2017.
Kujtojmë se në maj, kompjuterët në mbarë botën u sulmuan nga një virus. Informacioni u bllokua në kompjuterët e infektuar dhe sulmuesit kërkuan 600 dollarë në bitcoin për të zhbllokuar të dhënat. Në qershor, një virus tjetër i quajtur Petya sulmoi kompanitë e naftës, telekomunikacionit dhe financiare në Rusi, Ukrainë dhe disa vende të BE-së. Parimi i funksionimit të tij ishte i njëjtë: virusi kodonte informacionin dhe kërkonte një shpërblim prej 300 dollarësh në bitcoin.
Virusi BadRabbit funksionon si një kërcënim i ri kriptosh që ka arritur të bëjë kërdi në Evropën Lindore. Ai funksionon në mënyrë të ngjashme me famëkeqin ose ransomware që shpërtheu në hapësirën kibernetike disa muaj më parë. Duke e parë më nga afër, megjithëse ka ngjashmëri, dhe profesionistët e IT dyshojnë se zhvilluesi mund të jetë i njëjtë, por kodi burimor është krejtësisht i ndryshëm.
Aktiv ky moment numri i viktimave thuhet se ka kaluar mbi 200. Zhvilluesit duket se kanë një mospëlqim të fortë për Rusinë dhe Ukrainën, pasi këto janë dy vendet që kanë vuajtur më shumë. Objektivat kryesore janë Aeroporti Ndërkombëtar i Odessa në Ukrainë dhe disa korporata mediatike në Rusi, duke përfshirë Interfax, Fontanka.ru, etj. Përveç kësaj, sulmi është përhapur edhe në vendet fqinje si Turqia dhe Bullgaria.
Drejtoni sulmin përmes përditësimeve të rreme të Flash Player
Produkt Adobe Flash Lojtar akoma dikur demonstroi suksesin e zhvilluesve të malware. Komponenti kryesor me qëllim të keq i programit është i maskuar si i rremë Përditësimet flash. Malware shkarkohet si instaloni_ blic_ lojtar. exe skedar nga faqet e dëmtuara. ransomware BadRabbit gjithashtu mund të maskohet si emra alternativë skedarësh.
Siç tregon analiza e VirusTotal, kërcënimi mund të fshihet në një "çinstalues" specifik. Për fat të mirë, infeksioni është zbuluar tashmë nga shumica e aplikacioneve të sigurisë. Malware shfrytëzon disa dobësi Serverët SMB, e cila shpjegon pse është në gjendje të depërtojë në serverë.
Pas pushtimit të Bad Rabbit, ransomware krijohet C:\ Dritaret\ infpub. dat dosje. Prandaj gjeneron skedarët e mëposhtëm — C:\ Dritaret\ cscc. dat Dhe C:\ Dritaret\ dispci. exe. Ata janë përgjegjës për ndryshimin e cilësimeve të MBR. Është interesante se malware ofron lidhje me personazhet e Game of Thrones. Malware BadRabbit krijon tre detyra, të emërtuara sipas tre dragonjve në seri:
- C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat,#1 15
- cmd.exe /c schtasks /Fshi /F /TN rhaegal
- cmd.exe /c schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR
- cmd.exe /c schtasks /Krijo /SC një herë /TN drogon /RU SYSTEM /TR:00
- C:\Windows\AF93.tmp"\
Ai gjithashtu përdor një shërbim të hapur enkriptimi Kodi i burimit i quajtur DiskCryptor. Më vonë ai përdor metoda standarde Kriptimi AE dhe RSA-2048. Ato janë të destinuara për formate të ndryshme dosjet. Për shkak se Petya.A nuk shton një shtesë skedari, por ndërhyn në cilësimet Master Boot Record (MBR).
Ai rinis sistemin dhe shfaq të njëjtin shënim shpërblyese si NotPetya. Ai gjithashtu i drejton viktimat në faqen e tij unike të pagesave. Ai i informon shkurtimisht për malware dhe kërkon një shpërblim prej 0.05 BTC. Pasi malware depërton me sukses në sistem, ai përdor Mimikatz për të marrë informacion teknik rreth pajisjeve të tjera të dukshme në të njëjtin rrjet.
Virusi BadRabbit vazhdon mizorinë e Petya. 
Metoda 1. (Modaliteti i sigurt)
zgjidhni " Modaliteti i Sigurt me rrjete" 
Metoda 1. (Modaliteti i sigurt)
Zgjidhni "Aktivizo modalitetin e sigurt me rrjetëzimin" 
Zgjidhni "Safe Mode me Command Prompt" 
Metoda 2. (Rivendosja e Sistemit)
Zgjidhni "Aktivizo modalitetin e sigurt me vijën e komandës" 
Metoda 2. (Rivendosja e Sistemit)
Shkruani "cd restore" pa thonjëza dhe shtypni "Enter" 
Metoda 2. (Rivendosja e Sistemit)
Shkruani "rstrui.exe" pa thonjëza dhe shtypni "Enter" 
Metoda 2. (Rivendosja e Sistemit)
Në dritaren "Rivendosja e sistemit" që shfaqet, zgjidhni "Next" 
Metoda 2. (Rivendosja e Sistemit)
Zgjidhni pikën tuaj të rimëkëmbjes dhe klikoni "Next" 
Metoda 2. (Rivendosja e Sistemit)
Klikoni "Po" dhe filloni rikuperimin e sistemit ⇦ ⇨
Rrëshqitje 1 nga 10
Për shembull, ose t'ju ndihmojë të identifikoni një infeksion. Një mjet i tillë mund t'ju ndihmojë të kryeni heqjen e BadRabbit. Më poshtë do të gjeni udhëzime se si të rivendosni aksesin në kompjuterin tuaj. Pas kësaj, ju do të jeni në gjendje të hiqni virusin Bad Rabbit.
Eliminimi i Kërcënimit të Kriptos së BadRabbit
Për shkak të metodave specifike të funksionimit, nuk është çudi pse malware quhet Petya e ardhshme. Nëse hasni në këtë fatkeqësi kibernetike, ndiqni udhëzimet e mëposhtme. Meqenëse ransomware ndryshon cilësimet e MBR, nuk do të jeni në gjendje të nisni kompjuterin tuaj në të mënyra e sigurt. Ndiqni udhëzimet e rivendosjes së MBR.
Pas kësaj, rinisni kompjuterin tuaj në modalitetin e sigurt, riaktivizoni aplikacionet tuaja të sigurisë dhe hiqni virusin BadRabbit. Pas skanimit, filloni kompjuterin tuaj mënyrë normale dhe përsërisni procedurën. Kjo do të konfirmojë që heqja e Bad Rabbit është e plotë. Ju lutemi vini re se heqja e malware nuk rikthen skedarët e koduar. Mundohuni t'i rivendosni ato nga kopje rezervë. Më poshtë do të gjeni disa sugjerime.
Në Windows 7:
- Fut Windows 7 DVD.
- Hapni DVD-në.
- Zgjidhni gjuhën dhe cilësimet e tastierës. Klikoni Me tutje.
- Zgjidhni sistemin tuaj operativ, kontrolloni Përdorni mjetet e rimëkëmbjes dhe klikoni Me tutje.
- Prisni që të shfaqet ekrani Opsione rikuperimi i sistemit dhe zgjidhni Linja e komandës.
- Futni komandat e mëposhtme dhe shtypni Enter pas secilës: bootrec / rindërtuarbcd, bootrec / fixmbr, andbootrec / fixboot.
- Hiq DVD instalimi- disk dhe rinisni kompjuterin tuaj.
Aktiv Sistemet Windows 8/10:
- Fusni DVD-në e instalimit ose diskun e rikuperimit USB.
- Zgjidhni një opsion Rregullimi i kompjuterit tuaj. Zgjidhja e problemeve dhe shkoni në Linja e komandës.
- Futni komandat e mëposhtme një nga një dhe shtypni Hyni pas çdo: bootrec / FixMbr, bootrec / FixBoot, bootrec / ScanOs, Dhe bootrec / RindërtimiBcd.
- Hiq rikuperimin DVD ose USB.
- Shkruani output dhe shtypni Enter.
- Rinisni kompjuterin tuaj.
Mund të jetë një paralajmërues i valës së tretë të viruseve të enkriptimit, beson Kaspersky Lab. Dy të parët ishin WannaCry dhe Petya sensacionale (aka NotPetya). Rreth shfaqjes së një malware të ri të rrjetit dhe si të mbroheni prej tij sulm i fuqishëm, MIR 24 u tha nga ekspertë të sigurisë kibernetike.
Shumica e viktimave të sulmit Bad Rabbit janë në Rusi. Ka shumë më pak prej tyre në Ukrainë, Turqi dhe Gjermani, vuri në dukje kreu i departamentit të kërkimit antivirus në Kaspersky Lab. Vyacheslav Zakorzhevsky. Ndoshta, vendet e dyta më aktive ishin ato vende ku përdoruesit monitorojnë në mënyrë aktive burimet ruse të Internetit.
Kur malware infekton një kompjuter, ai kodon skedarët në të. Ai shpërndahet duke përdorur trafikun e internetit nga burimet e hakuara të Internetit, ndër të cilat ishin kryesisht faqet e mediave federale ruse, si dhe kompjuterët dhe serverët e metrosë së Kievit, Ministrisë së Infrastrukturës së Ukrainës dhe Aeroportit Ndërkombëtar të Odessa. E fiksuar dhe përpjekje e pasuksesshme sulmoni bankat ruse nga 20 vendet e para.
Fakti që Fontanka, Interfax dhe një sërë botimesh të tjera u sulmuan nga Bad Rabbit u raportua dje nga Group-IB, një kompani e specializuar në siguria e informacionit. Analiza e kodit të virusit tregoi se Bad Rabbit është i lidhur me ransomware-in Not Petya, i cili në qershor këtë vit sulmoi energjinë, telekomunikacionin dhe kompanitë financiare në Ukrainë.
Sulmi u përgatit për disa ditë dhe, pavarësisht shkallës së infeksionit, ransomware kërkoi sasi relativisht të vogla nga viktimat e sulmit - 0,05 bitcoin (që është rreth 283 dollarë ose 15,700 rubla). 48 orë janë caktuar për shpengim. Pas skadimit të kësaj periudhe, shuma rritet.
Specialistët e Group-IB besojnë se, me shumë mundësi, hakerët nuk kanë ndërmend të bëjnë para. Qëllimi i tyre i mundshëm është të kontrollojnë nivelin e mbrojtjes së rrjeteve të infrastrukturës kritike të ndërmarrjeve, departamentet qeveritare dhe kompanitë private.
Është e lehtë të bëhesh viktimë e një sulmi
Kur një përdorues viziton një faqe të infektuar, kod me qëllim të keq transmeton informacion në lidhje me të në një server të largët. Më pas, shfaqet një dritare pop-up që ju kërkon të shkarkoni një përditësim për Flash Player, e cila është e rreme. Nëse përdoruesi miraton operacionin "Install", një skedar do të shkarkohet në kompjuter, i cili nga ana tjetër do të nisë enkriptuesin Win32/Filecoder.D në sistem. Më pas, qasja në dokumente do të bllokohet dhe një mesazh shpërblimi do të shfaqet në ekran.
Virusi Bad Rabbit skanon rrjetin për të hapur burimet e rrjetit, pas së cilës lëshon një mjet në makinën e infektuar për të mbledhur kredencialet dhe kjo "sjellje" ndryshon nga paraardhësit e saj.
Specialistët nga zhvilluesi ndërkombëtar i softuerit antivirus Eset NOD 32 konfirmuan se Bad Rabbit është një modifikim i ri Virusi Petya, parimi i funksionimit të të cilit ishte i njëjtë - virusi kodonte informacionin dhe kërkonte një shpërblim në bitcoin (shuma ishte e krahasueshme me Bad Rabbit - 300 dollarë). Malware i ri rregullon gabimet në enkriptimin e skedarëve. Kodi i përdorur në virus ka për qëllim të enkriptojë disqet logjike, disqet e jashtme USB dhe imazhe CD/DVD, si dhe bootable ndarjet e sistemit disk.
Duke folur për publikun që u ekspozua Sulme të këqija Rabbit, Shef i Mbështetjes së Shitjeve, ESET Rusi Vitaly Zemskikh deklaroi se 65% e sulmeve u ndalën produkte antivirus kompanitë janë të vendosura në Rusi. Pjesa tjetër e gjeografisë së virusit të ri duket kështu:
Ukrainë – 12.2%
Bullgaria – 10.2%
Turqia – 6.4%
Japonia – 3.8%
të tjerët - 2.4%
“Ransomware përdor softuer të mirënjohur me burim i hapur thirrur DiskCryptor për të enkriptuar disqet e viktimës. Ekrani i mesazheve të kyçjes që shikon përdoruesi është pothuajse identik me ekranet e kyçjes Petya dhe NotPetya. Sidoqoftë, kjo është e vetmja ngjashmëri që kemi parë deri më tani midis dy malware. Në të gjitha aspektet e tjera, BadRabbit është një lloj krejtësisht i ri dhe unik ransomware,” beson ai nga ana tjetër. Drejtor teknik kompanitë Pika e kontrollit Teknologjitë e Softuerit Nikita Durov.
Si të mbroheni nga lepuri i keq?
Pronarët e sistemeve operative të ndryshme nga Windows mund të marrin frymë të lehtësuar, si virus i ri ransomware i bën të cenueshëm vetëm kompjuterët me këtë "bosht".
Për të mbrojtur kundër malware të rrjetit, ekspertët rekomandojnë krijimin e skedarit C:\windows\infpub.dat në kompjuterin tuaj dhe vendosjen e të drejtave vetëm për lexim për të - kjo është e lehtë për t'u bërë në seksionin e administrimit. Në këtë mënyrë ju do të bllokoni ekzekutimin e skedarit dhe të gjitha dokumentet që vijnë nga jashtë nuk do të kodohen edhe nëse janë të infektuar. Për të shmangur humbjen e të dhënave të vlefshme në rast infektimi me virus, bëni një kopje rezervë tani. Dhe, sigurisht, ia vlen të kujtojmë se pagimi i një shpërblimi është një kurth që nuk garanton që kompjuteri juaj do të zhbllokohet.
Kujtojmë se virusi u përhap në të paktën 150 vende të botës në maj të këtij viti. Ai e kodoi informacionin dhe kërkoi të paguante një shpërblim, sipas burimeve të ndryshme, nga 300 deri në 600 dollarë. Mbi 200 mijë përdorues u prekën prej tij. Sipas një versioni, krijuesit e tij morën si bazë malware NSA e SHBA-së Blu e Përjetshme.
Alla Smirnova foli me ekspertë
Virusi ransomware Bad Rabbit ose Diskcoder.D. sulmon rrjetet e korporatave të organizatave të mëdha dhe të mesme, duke bllokuar të gjitha rrjetet.
Lepuri i keq ose " lepur i keq“Është e vështirë ta quash atë një pionier - ai u parapri nga viruset e enkriptimit Petya dhe WannaCry.
Lepuri i keq - çfarë lloj virusi
Ekspertët studiuan përhapjen e virusit të ri kompani antivirus ESET dhe zbuloi se Bad Rabbit depërtoi në kompjuterët e viktimave nën maskën e Përditësimet e Adobe Flash për shfletuesin.
Kompania antivirus beson se enkriptuesi Win32/Diskcoder.D, i quajtur Bad Rabbit, është version i modifikuar Win32/Diskcoder.C, i njohur më mirë si Petya/NotPetya, i cili goditi sistemet e IT të organizatave në disa vende në qershor. Lidhja midis Bad Rabbit dhe NotPetya tregohet nga ndeshjet në kod.
Sulmi përdor programin Mimikatz, i cili përgjon hyrjet dhe fjalëkalimet në makinën e infektuar. Gjithashtu në kod ka tashmë hyrje dhe fjalëkalime të regjistruara për përpjekjet për të fituar akses administrativ.
Programi i ri me qëllim të keq korrigjon gabimet në enkriptimin e skedarëve - kodi i përdorur në virus është krijuar për të enkriptuar disqet logjike, disqet e jashtme USB dhe imazhet CD/DVD, si dhe ndarjet e diskut të sistemit të bootable. Pra, ekspertët e deshifrimit do të duhet të shpenzojnë shumë kohë për të zbuluar sekretin e virusit Bad Rabbit, thonë ekspertët.
Virusi i ri, sipas ekspertëve, funksionon sipas një skeme standarde për enkriptuesit - duke hyrë në sistem nga askund, ai kodon skedarët, për enkriptimin e të cilave hakerët kërkojnë një shpërblim në bitcoin.
Zhbllokimi i një kompjuteri do të kushtojë 0.05 bitcoin, që është rreth 283 dollarë me kursin aktual të këmbimit. Nëse shpërblimi paguhet, mashtruesit do të dërgojnë një kod të veçantë kyç që do t'ju lejojë të rivendosni punë normale sistem dhe të mos humbasësh gjithçka.
Nëse përdoruesi nuk transferon fonde brenda 48 orëve, shuma e shpërblimit do të rritet.
Por ia vlen të kujtojmë se pagesa e një shpërblimi mund të jetë një kurth që nuk garanton zhbllokimin e kompjuterit.
ESET vëren se malware aktualisht është i lidhur me server në distancë mungon.
Virusi ka goditur më së shumti Përdoruesit rusë, dhe në një masë më të vogël - kompani në Gjermani, Turqi dhe Ukrainë. Përhapja ndodhi përmes mediave të infektuara. Vendet e njohura të infektuara tashmë janë bllokuar.
ESET beson se statistikat e sulmeve janë kryesisht në përputhje me shpërndarjen gjeografike të faqeve që përmbajnë JavaScript me qëllim të keq.
Si të mbroheni
Specialistët nga Group-IB, i cili është i përfshirë në parandalimin dhe hetimin e krimit kibernetik, dhanë rekomandime se si të mbroheni nga virusi Bad Rabbit.
Në veçanti, për t'u mbrojtur nga një dëmtues në internet, duhet të krijoni skedarin C:\windows\infpub.dat në kompjuterin tuaj dhe të vendosni të drejta vetëm për lexim për të në seksionin e administrimit.
Ky veprim do të bllokojë ekzekutimin e skedarit dhe të gjitha dokumentet që vijnë nga jashtë nuk do të kodohen edhe nëse janë të infektuar. Është e nevojshme të krijoni një kopje rezervë të të gjitha të dhënave të vlefshme në mënyrë që në rast infektimi të mos e humbni atë.
Specialistët e Group-IB këshillojnë gjithashtu bllokimin e adresave IP dhe emrat e domeneve, nga e cila u përhap skedarë me qëllim të keq, vendosni një bllokues pop-up për përdoruesit.
Gjithashtu rekomandohet izolimi i shpejtë i kompjuterëve në një sistem zbulimi të ndërhyrjeve. Përdoruesit e PC duhet gjithashtu të kontrollojnë rëndësinë dhe integritetin e kopjeve rezervë të nyjeve kryesore të rrjetit dhe të përditësojnë OS dhe sistemet e sigurisë.
"Për sa i përket politikës së fjalëkalimit: cilësimet politikën e grupitçaktivizoni ruajtjen e fjalëkalimeve në LSA Dump in formë e hapur. Ndryshoni të gjitha fjalëkalimet në ato komplekse,” shtoi kompania.
paraardhësit
Virusi WannaCry u përhap në të paktën 150 vende në maj 2017. Ai e kodoi informacionin dhe kërkoi të paguante një shpërblim, sipas burimeve të ndryshme, nga 300 deri në 600 dollarë.
Mbi 200 mijë përdorues u prekën prej tij. Sipas një versioni, krijuesit e tij morën si bazë malware-in amerikan NSA Eternal Blue.
Sulmi global i virusit ransomware Petya më 27 qershor goditi sistemet IT të kompanive në disa vende të botës, duke prekur më së shumti Ukrainën.
U sulmuan kompjuterë të kompanive të naftës, energjisë, telekomunikacionit, farmaceutike, si dhe agjencive qeveritare. Policia kibernetike ukrainase deklaroi se sulmi me ransomware ndodhi përmes programit M.E.doc.
Materiali u përgatit në bazë të burimeve të hapura
