Përshëndetje, të dashur vizitorë dhe të ftuar të këtij blogu! Sot u shfaq në botë një tjetër virus ransomware me emër: " Lepuri i keq» — « Lepuri i keq". Ky është ransomware i tretë i profilit të lartë në 2017. Të mëparshmet ishin dhe (aka NotPetya).
Lepuri i keq – Kush e ka vuajtur tashmë dhe po kërkon shumë para?
Deri më tani, disa media ruse dyshohet se kanë vuajtur nga ky ransomware - mes tyre Interfax dhe Fontanka. Gjithashtu rreth sulm hakeri- ndoshta e lidhur me të njëjtin lepur të keq, raporton aeroporti i Odessa.
Për deshifrimin e skedarëve, sulmuesit kërkojnë 0.05 bitcoin, i cili me kursin aktual të këmbimit është afërsisht i barabartë me 283 dollarë ose 15,700 rubla.
Rezultatet e hulumtimit të Kaspersky Lab tregojnë se sulmi nuk përdor shfrytëzime. Bad Rabbit përhapet përmes faqeve të internetit të infektuara: përdoruesit shkarkojnë një instalues të rremë Adobe Flash, e lëshojnë manualisht dhe në këtë mënyrë infektojnë kompjuterët e tyre.
Sipas Kaspersky Lab, ekspertët po hetojnë këtë sulm dhe po kërkojnë mënyra për ta luftuar atë, si dhe për mundësinë e deshifrimit të skedarëve të prekur nga ransomware.
Shumica e viktimave të sulmit janë në Rusi. Dihet gjithashtu se sulme të ngjashme ndodhin në Ukrainë, Turqi dhe Gjermani, por në numër shumë më të vogël. Kriptograf Lepuri i keq po përhapet përmes një numri të mediave ruse të infektuara.
Kapersky Lab beson se të gjitha shenjat tregojnë se ky është një sulm i synuar rrjetet e korporatave. Përdoren metoda të ngjashme me ato që kemi vërejtur në sulmin ExPetr, por ne nuk mund të konfirmojmë lidhjen me ExPetr.
Dihet tashmë që produktet e Kaspersky Lab zbulojnë një nga komponentët e malware duke përdorur një shërbim cloud Kaspersky Security Rrjeti si UDS:DangerousObject.Multi.Generic, dhe gjithashtu me duke përdorur Sistemin Watcher si PDM:Trojan.Win32.Generic.
Si të mbroheni nga virusi Bad Rabbit?
Për të mos u bërë viktimë e një epidemie të re " lepur i keq», « Kaspersky Lab"Ne rekomandojmë të bëni sa më poshtë:
Nëse keni të instaluar Kaspersky Anti-Virus, atëherë:
- Kontrolloni nëse juaji zgjidhje mbrojtëse komponentët e Rrjetit të Sigurisë Kaspersky dhe Monitorit të Aktivitetit (i njohur ndryshe si System Watcher). Nëse jo, sigurohuni që ta aktivizoni.
Për ata që nuk e kanë këtë produkt:
- Blloko ekzekutimin e skedarit c:\windows\infpub.dat, C:\Windows\cscc.dat. Kjo mund të bëhet përmes.
- Çaktivizoni (nëse është e mundur) përdorimin e shërbimit WMI.
Ende shumë këshilla të rëndësishme nga une:
Bëje gjithmonë rezervë (backup - kopje rezervë ) skedarë që janë të rëndësishëm për ju. Aktiv media e lëvizshme, V shërbimet cloud! Kjo do të kursejë nervat, paratë dhe kohën tuaj!
Uroj që të mos e kapni këtë infeksion në kompjuterin tuaj. Keni një internet të pastër dhe të sigurt!
Të martën, kompjuterët në Federatën Ruse, Ukrainë, Turqi dhe Gjermani u sulmuan nga virusi ransomware Bad Rabbit. Virusi u bllokua shpejt, por specialistët siguria kompjuterike paralajmërojnë për afrimin e një "uragani kibernetik".
Sulmet e viruseve filluan në mes të ditës në Ukrainë: virusi goditi rrjetet kompjuterike Metro Kiev, Ministria e Infrastrukturës, Aeroporti Ndërkombëtar i Odessa. Bad Rabbit kodoi skedarët në kompjuterë dhe kërkoi një shpërblim prej 0,05 bitcoin.
Pak më vonë, ruse Agjencia e informacionit Interfax dhe serveri i Shën Petersburgut portal lajmesh“Fontanka”, për pasojë këto dy media u detyruan të ndërpresin punën. Sipas Group-IB, një kompani që punon në fushën e hetimit të krimit kibernetik, të martën nga ora 13:00 deri në 15:00 me orën e Moskës, Bad Rabbit u përpoq gjithashtu të sulmonte të mëdha bankat ruse, por pa sukses. ESET raportoi se sulmet e virusit prekën përdoruesit në Bullgari, Turqi dhe Japoni.
Bad Rabbit u shpërnda nën maskën e përditësimeve dhe instaluesve të rremë të Adobe Flash. Falsifikimet ishin nënshkruar me certifikata false që imitonin certifikatat e Symantec.
Vetëm pak orë pas fillimit të sulmit, pothuajse të gjithë testuan virusin kompanitë më të mëdha në fushën e sigurisë në internet. Ekspertët nga ESET, Proofpoint dhe Kaspersky Lab zbuluan se Bad Rabbit u shpërnda nën maskën e përditësimeve dhe instaluesve të rremë të Adobe Flash. Falsifikimet ishin nënshkruar me certifikata false që imitonin certifikatat e Symantec.
Bad Rabbit shpërndau disa faqe të hakuara në të njëjtën kohë, kryesisht që u përkisnin organeve mediatike. Gjithashtu u konstatua se sulmi ishte përgatitur për disa ditë: Përditësimet më të fundit Programet u realizuan më 19 tetor 2017.
Trashëgimtari i "Petit"
Ky është sulmi i tretë global i ransomware këtë vit. Më 12 maj, virusi WannaCry infektoi më shumë se 300 mijë kompjuterë në 150 vende. WannaCry i koduar skedarët e përdoruesve për dekriptim, zhvatësit kërkuan të paguanin 600 dollarë në kriptomonedhën Bitcoin. Në veçanti, ata vuajtën nga sulmet e virusit Sistemi kombëtar Kujdesi shëndetësor në Mbretërinë e Bashkuar, kompania spanjolle e telekomunikacionit Telefonica, Ministria Ruse e Situatave të Emergjencave, Ministria e Punëve të Brendshme, Hekurudhat Ruse, Sberbank, Megafon dhe VimpelCom.
Dëmi total nga WannaCry tejkaloi 1 miliard dollarë. Në të njëjtën kohë, sipas ekspertëve amerikanë, zhvatësit morën vetëm 302 pagesa për shuma totale 116.5 mijë dollarë.
Ekspertët kanë vërtetuar se WannaCry është krijuar në bazë të programit të hakerëve EternalBlue, i krijuar nga NSA e SHBA dhe i vjedhur nga hakerat. Presidenti i Microsoft Brad Smith tha në lidhje me këtë se sulmi masiv Virusi WannaCry u bë e mundur për shkak të faktit se CIA dhe Agjencia e Sigurisë Kombëtare e SHBA (NSA) mbledhin të dhëna për dobësitë e softuerit për interesat e tyre.
Sulmi WannaCry zbulon një lidhje shqetësuese midis dy prej formave më serioze të kërcënimeve kibernetike - veprimeve shtetërore dhe grupeve kriminale.
Brad Smith
Presidenti i Microsoft
Më 27 qershor 2017, filluan sulmet nga virusi ransomware NotPetya. Virusi u përhap përmes lidhjeve në mesazhe Email dhe bllokoi aksesin e përdoruesit në hard disk kompjuter. Ashtu si me WannaCry, hakerët kërkuan një shpërblim për të rivendosur funksionalitetin e kompjuterit, por këtë herë vetëm 300 dollarë në Bitcoin.
Dhjetra njerëz u prekën nga sulmi NotPetya Kompanitë ruse, duke përfshirë Rosneft, Bashneft, Evraz, zyrat ruse të Mars, Mondeles dhe Nivea. Në Ukrainë sulmi i virusit Kompjuterët e Kyivenergo, Ukrenergo, Oschadbank, koncerni Antonov dhe centrali bërthamor i Çernobilit u prekën. Ashtu si WannaCry, NotPetya u krijua bazuar në mjetin EternalBlue të zhvilluar nga NSA e SHBA.
Sipas ekspertëve, autori i virusit të ri të enkriptimit BadRabbit mund të jetë i njëjti haker ose grup hakerash që shkruan NotPetya: fragmente që përputhen u gjetën në kodin e të dy viruseve. Analistët e Intezer llogaritën këtë burimi dy viruset përkojnë me 13%.
Lepuri i keq është version i modifikuar NotPetya me gabime të korrigjuara në algoritmin e kriptimit.
Kompania Group-IB
Specialistët e ESET dhe Kaspersky Lab pranojnë gjithashtu se Bad Rabbit mund të jetë një "pasardhës" i drejtpërdrejtë i NotPetya, por vini re se Bad Rabbit, ndryshe nga dy viruset e mëparshme ransomware, nuk përdor mjetin EternalBlue.
Si të mbroheni nga "Lepuri i keq"
Ekspertët e sigurisë në internet raportojnë se shpërndarja e Bad Rabbit tashmë është ndalur, por këshillojnë marrjen e masave të sigurisë. Group-IB dha rekomandime në kanalin e tij Telegram se çfarë të bëni për të parandaluar që virusi të kodojë skedarët tuaj.
Ju duhet të krijoni një skedar C:\windows\infpub.dat dhe t'i jepni atij leje vetëm për lexim<...>Pas kësaj, edhe nëse infektohen, skedarët nuk do të kodohen.
Kompania Group-IB
e specializuar në hetimet e krimit kibernetik
Për të shmangur infeksionin në shkallë të gjerë, është e nevojshme të izolohen shpejt kompjuterët që janë zbuluar se dërgojnë të tillë skedarë me qëllim të keq, vuri në dukje kompania. Përveç kësaj, përdoruesit duhet të sigurojnë që kopje rezervë nyjet kryesore të rrjetit.
Rekomandohet gjithashtu të përditësohet OS dhe sistemet e sigurisë dhe në të njëjtën kohë bllokojnë adresat IP dhe emrat e domeneve, nga i cili u shpërndanë skedarë me qëllim të keq. Për më tepër, Group-IB rekomandon ndryshimin e të gjitha fjalëkalimeve në ato më komplekse dhe aktivizimin e bllokimit të pop-up-eve.
Më e keqja mund të vijë ende
Dy ditë para sulmit Bad Bunny, botoi gazeta kryesore norvegjeze Dagbladet artikull i madh, i cili paralajmëroi për afrimin e "stuhisë kibernetike të forcës së paprecedentë që mund të mbyllë internetin në botë". "Hulumtimi ynë tregon se tani është qetësia para se të afrohet një stuhi kibernetike," citon Dagbladet një mesazh nga një kompani izraelite për mbrojtjen e viruseve. Pika e kontrollit.
Sipas Check Point, hakerë të panjohur aktualisht po krijojnë një botnet gjigant Reaper, duke infektuar pajisjet e lidhura me internetin si ruterat dhe madje edhe kamerat. Specialistët e kompanisë theksojnë se në në këtë rast hakerët janë fokusuar në "Internetin e Gjërave" - pajisje inteligjente të lidhura me World Wide Web (nga llambat, bravat e dyerve, kamerat e sigurisë deri te frigoriferët dhe prodhuesit e kafesë) që mund të kontrollohen nëpërmjet aplikacionet celulare ose interneti.
Shumica e këtyre pajisjeve (llambat, videokamerat, etj. të lidhura në internet) kanë dobësi të mëdha. Artikujt zakonisht dorëzohen me mbiemrin e përdoruesit dhe fjalëkalim standard, A software përditësuar rrallë. Prandaj, ata janë shumë të prekshëm ndaj sulmeve të hakerëve.
e specializuar në mbrojtjen nga viruset
Specialistët e kompanisë zbuluan në fund të shtatorit se sasi e madhe objekte të ngjashme janë "rekrutuar" nga hakerat për të përhapur virusin në gjëra të tjera. Kështu, virusi po përhapet më shpejt dhe tashmë ka infektuar miliona pajisje në mbarë botën, përfshirë shumicën Ruterat D-Link, Netgear dhe Linksys, si dhe kamera sigurie të lidhura me internet nga kompani të tilla si Vacron, GoAhead dhe AVTech.
Botnet-i Reaper nuk ka shfaqur ende ndonjë aktivitet, por kompani kineze Për mbrojtjen nga viruset, Qihoo 360 paralajmëron se një virus mund të aktivizohet në çdo kohë, duke rezultuar në mbylljen e pjesëve të mëdha të internetit.
Disa media ruse dhe organizata ukrainase u sulmuan nga ransomware Bad Rabbit. Në veçanti, hakerët sulmuan tre media ruse, duke përfshirë Interfax dhe Fontanka.
Më 24 tetor, një sulm i ri kibernetik në shkallë të gjerë filloi duke përdorur virusin ransomware Bad Rabbit. Malware preku rrjetet kompjuterike të Metrosë së Kievit, Ministrisë së Infrastrukturës, Aeroporti ndërkombëtar"Odessa". Disa viktima gjithashtu përfunduan në Rusi - si rezultat i sulmit, redaksia e mediave federale si Interfax dhe Fontanka u dëmtuan.
Kill Switch: duhet të krijoni një skedar C:\windows\infpub.dat dhe t'i jepni leje vetëm për lexim. Në këtë rast, edhe nëse infektohen, skedarët nuk do të kodohen.
Me shumë mundësi, virusi përhapet përmes faqeve të internetit të hakuara, duke i shtyrë përdoruesit të instalojnë një përditësim të flash player-it:
Analiza paraprake tregon se malware po përhapet përmes një numri faqesh të mediave ruse të infektuara. Të gjitha shenjat tregojnë se ky është një sulm i synuar ndaj rrjeteve të korporatave.
Pas depërtimit në kompjuterin e viktimës malware kodon skedarët e përdoruesit. Për të rivendosur aksesin në të dhënat e koduara, propozohet të paguhet një shpërblim prej 0,05 bitcoin, i cili me kursin aktual të këmbimit është afërsisht i barabartë me 283 dollarë amerikanë ose 15,700 rubla. Në të njëjtën kohë, sulmuesit paralajmërojnë se nëse vonojnë, çmimi për deshifrimin do të rritet.
Detajet rreth skemës së shpërndarjes së Bad Rabbit nuk janë ende të disponueshme. Gjithashtu nuk është e qartë nëse skedarët mund të deshifrohen. Por tashmë dihet se shumica e viktimave të sulmit janë në Rusi. Gjithashtu, sulme të ngjashme u regjistruan në Ukrainë, Turqi dhe Gjermani, por në numër shumë më të vogël.
Shërbimi i shtypit i Metrosë së Kievit gjithashtu raportoi për sulmin e hakerëve. Hakerët arritën të prishin aftësinë për të paguar udhëtimin duke përdorur karta bankare pa kontakt. "Vëmendje! Sulm kibernetik! Metro funksionon në mënyrë normale, me përjashtim të shërbimeve bankare (pagesa pa kontakt karta bankare në rrotullën e verdhë ose MasterPass),” sipas llogari zyrtare Metroja e Kievit në Facebook.
Sulmuesit u kërkojnë viktimave të tyre të ndjekin një lidhje që çon në një faqe TOR, ku niset një numërues automatik. Pas pagesës, sipas sulmuesve, viktima duhet të marrë një çelës personal deshifrimi.
Metodat e shpërndarjes dhe konsolidimit në sistem janë ende të panjohura, dhe gjithashtu nuk ka informacion të besueshëm në lidhje me disponueshmërinë e çelësave të deshifrimit.
Stafi i Kaspersky Lab rekomandon veprimet e mëposhtme:
Blloko ekzekutimin e skedarit c:\windows\infpub.dat, C:\Windows\cscc.dat.Postimi do të përditësohet kur informacioni të bëhet i disponueshëm.
Çaktivizoni (nëse është e mundur) përdorimin e shërbimit WMI.
Më 24 tetor, shumë përdorues në Ukrainë dhe Rusi u "vizituan nga Lepuri i Pashkëve". Vetëm ai nuk solli dhurata dhe gëzim, por një numër të madh problemesh. Dhe ata e quajtën atë në përputhje me rrethanat - Bad Rabbit (ose siç shkruajnë disa ekspertë - Bad Rabbit). Ishte nën këtë emër që një tjetër virus ransomware filloi të përhapet.
Kush u lëndua?
Informacioni i parë për sulmin u shfaq në mëngjesin e 24 tetorit. Shumë kompani shtetërore në Ukrainë (metroja e Kievit, aeroporti i Odesës) dhe Rusia, si dhe disa media, u prekën. Sulmohen edhe institucionet financiare, por sulmuesit nuk kanë mundur t'i dëmtojnë. Nga ana tjetër, përfaqësuesit e ESET raportuan se problemet u shfaqën jo vetëm në Rusi dhe Ukrainë, por edhe në Turqi, Japoni dhe Bullgari.
Pas bllokimit të kompjuterit, malware informoi përdoruesin se për të zhbllokuar të dhënat, ai duhet të transferojë 0.05 bitcoin (ekuivalente me 280 USD) në llogarinë e sulmuesit.
Si shpërndahet?
Asgjë nuk dihej për mënyrën e saktë të shpërndarjes së malware. Grupi-IB vuri në dukje se sulmi ishte përgatitur për disa ditë (megjithëse sipas përfaqësuesit të Kaspersky Lab, Costin Raiu, përgatitja zgjati shumë).
Megjithatë, dihet tashmë sot se malware u shpërnda nën maskën e zakonshme Përditësimet e Adobe Flash, pa shfrytëzuar defektin SMB që ishte shfrytëzuar më parë nga ransomware WannaCry dhe NotPetya. Por edhe këtu mendimet e ekspertëve ndryshojnë.
Group-IB beson se Bad Rabbit është një modifikim i NotPetya, në të cilin hakerat arritën të korrigjojnë gabimet në algoritmin e kriptimit. Në të njëjtën kohë, përfaqësuesit e Intezer theksojnë se kod me qëllim të keq vetëm 13% identike.
ESET dhe Kaspersky Lab kanë marrë një pozicion mjaft interesant: kompanitë nuk përjashtojnë që "lepuri i keq" mund të jetë një ndjekës i NotPetya, por ata nuk bëjnë deklarata të drejtpërdrejta për këtë.
Si të mbroni kompjuterin tuaj?
Aktiv ky moment Shpërndarja e ransomware tashmë është ndalur, por ekspertët vërejnë se ia vlen të kujdeseni për të mbrojtur kompjuterët tuaj nga infeksioni. Për ta bërë këtë, krijoni skedarët:
- C:\Windows\infpub.dat dhe C:\Windows\cscc.dat;
- hiqni të gjitha lejet e ekzekutimit prej tyre (bllokoni ato).
Mund të konfirmoj - Vaksinimi për
Ai tashmë është infektuar kompjuterë me tre Mediat ruse dhe, me siguri, ai i shkaktoi problemet sistemet e informacionit në Ukrainë.
Tek faqeshënuesit
Gjatë ditës së 24 tetorit, faqet e internetit të agjencisë së lajmeve Interfax dhe gazetës së Shën Peterburgut Fontanka ishin të hapura: përfaqësuesit e të dyjave raportuan se arsyeja ishte një sulm virusi. Më vonë për sulmin e hakerëve në Ministrinë e Infrastrukturës së Ukrainës, metronë e Kievit dhe aeroportin e Odessa.
Nuk dihet ende me siguri nëse të gjitha këto sulme janë të lidhura, por të gjitha ndodhën afërsisht në të njëjtën kohë - u bënë të njohura për to brenda pak orësh nga njëri-tjetri. Në minimum, mediat ruse u sulmuan nga i njëjti virus i enkriptimit, thotë Group-IB, dhe sqaron se agjencitë qeveritare në Ukrainë gjithashtu mund të bëhen viktima të tij.
Vetë krijuesit e virusit e quajnë atë Bad Rabbit. TJ shpjegon atë që dihet për virusin.
- Infeksioni Bad Rabbit të kujton majin e vitit 2017: ai preku kryesisht kompani në Rusi dhe Ukrainë, virusi u përhap shumë shpejt dhe hakerët kërkuan një shpërblim. Por Group-IB thotë se Bad Rabbit në vetvete nuk është si Petya.A ose WannaCry - ekspertët tani po studiojnë kompjuterët e infektuar;
- Virusi infekton kompjuterin duke enkriptuar skedarët në të. Ju nuk mund t'i qaseni ato. Shfaqet ekrani i kompjuterit mesazh i detajuar me udhëzime: në kanalin Telegram Group-IB ata publikuan foto të shembujve të kompjuterëve të tillë të infektuar;
Foto nga Group-IB
- Udhëzimet thonë se për të deshifruar skedarët ju duhet vetëm të vendosni një fjalëkalim. Por për ta marrë atë, duhet të bëni një rrugë të gjatë. Së pari, shkoni në një faqe të veçantë në caforssztxqzf2nm.onion në rrjetin e errët - për këtë do t'ju duhet Shfletuesi Tor. Duke gjykuar nga fotografitë e publikuara nga Group-IB, faqja është e njëjtë kudo;
- Emri i virusit tregohet në faqen e internetit - Bad Rabbit. Për të marrë fjalëkalimin për të deshifruar të dhënat, hakerët kërkojnë që të futni një "kod personal instalimi" - një shifër e gjatë nga një mesazh i shfaqur në ekranin e kompjuterit. Pas kësaj, do të shfaqet adresa e portofolit Bitcoin në të cilën dëshironi të transferoni para;
- Sipas faqes së internetit Bad Rabbit, ransomware kërkon një shpërblim prej 0.05 Bitcoin për çdo kompjuter. Me kursin e këmbimit që nga 24 tetori, kjo është afërsisht 283 dollarë ose 16.5 mijë rubla (Petya.A gjithashtu kërkoi rreth 300 dollarë);
- Përsëri, duke gjykuar nga faqja e internetit e virusit, ransomware jep vetëm dy ditë (48 orë) për të paguar shpërblimin fillestar. Pas skadimit të kësaj periudhe, çmimi për deshifrimin e skedarëve nuk dihet se sa;
- Nuk ishte e mundur të verifikohej adresa e portofolit Bitcoin në të cilën hakerët marrin fonde duke përdorur kodet e disponueshme nga fotografitë e Group-IB. Ndoshta ato janë përdorur tashmë, ndoshta kemi bërë një gabim - në fund të fundit, kodi është 356 karaktere;
