Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ

Si funksionon ransomware i Bad Rabbit. Sulmet "Bad Bunny".

13.06.2019 telefon Windows

virus ransomware lepur i keq ose Diskcoder.D. sulmon rrjetet e korporatave të organizatave të mëdha dhe të mesme, duke bllokuar të gjitha rrjetet.

Bad Rabbit ose "lepuri i keq" vështirë se mund të quhet pionier - ai u parapri nga viruset e enkriptimit Petya dhe WannaCry.

Lepuri i keq - çfarë lloj virusi

Skema e shpërndarjes së virusit të ri u hetua nga ekspertë të kompanisë antivirus ESET dhe zbuloi se Bad Rabbit depërtoi në kompjuterët e viktimave nën maskën e Përditësimet e Adobe Flash për shfletuesin.

Kompania antivirus beson se koduesi Win32/Diskcoder.D, i quajtur Bad Rabbit - version i modifikuar Win32/Diskcoder.C, i njohur më mirë si Petya/NotPetya, goditi sistemet e TI-së të organizatave në disa vende në qershor. Lidhja midis Bad Rabbit dhe NotPetya tregohet nga rastësi në kod.

Sulmi përdor programin Mimikatz, i cili përgjon hyrjet dhe fjalëkalimet në makinën e infektuar. Gjithashtu në kod ka tashmë hyrje dhe fjalëkalime të regjistruara për përpjekjet për të marrë akses administrativ.

Malware i ri rregullon gabimet në enkriptimin e skedarëve - kodi i përdorur në virus është krijuar për të enkriptuar disqet logjike, disqet e jashtme USB dhe imazhe CD/DVD, si dhe bootable ndarjet e sistemit disk. Kështu që ekspertët e deshifrimit do të duhet të shpenzojnë shumë kohë për të zbuluar sekretin. virus i keq Lepuri, thonë ekspertët.

Virusi i ri, sipas ekspertëve, funksionon sipas skemës standarde për kriptografët - duke hyrë në sistem nga askund, ai kodon skedarët, për deshifrimin e të cilave hakerët kërkojnë një shpërblim në bitcoin.

Zhbllokimi i një kompjuteri do të kushtojë 0.05 bitcoin, që është rreth 283 dollarë me kursin aktual. Nëse shpërblimi paguhet, mashtruesit do të dërgojnë një kod të veçantë kyç që do t'ju lejojë të rivendosni punë normale sistem dhe të mos humbasësh gjithçka.

Nëse përdoruesi nuk transferon fonde brenda 48 orëve, shuma e shpërblimit do të rritet.

Por, ia vlen të kujtojmë se pagesa e shpërblimit mund të jetë një kurth që nuk garanton zhbllokimin e kompjuterit.

ESET vëren se malware aktualisht është i lidhur me server në distancë mungon.

Virusi goditi më së shumti Përdoruesit rusë, në një masë më të vogël - kompani në Gjermani, Turqi dhe Ukrainë. Përhapja u bë përmes mediave të infektuara. Vendet e njohura të infektuara tashmë janë bllokuar.

ESET beson se statistikat e sulmeve janë kryesisht në përputhje me shpërndarjen gjeografike të faqeve që përmbajnë JavaScript me qëllim të keq.

Si të mbroheni

Ekspertët nga Group-IB, i cili është i angazhuar në parandalimin dhe hetimin e krimit kibernetik, dhanë rekomandime se si të mbroheni nga virusi Bad Rabbit.

Në veçanti, për të mbrojtur kundër një dëmtuesi të rrjetit, duhet të krijoni një skedar C:\windows\infpub.dat në kompjuterin tuaj dhe të vendosni të drejta vetëm për lexim për të në seksionin e administrimit.

Ky veprim do të bllokojë ekzekutimin e skedarit dhe të gjitha dokumentet që vijnë nga jashtë nuk do të kodohen edhe nëse janë të infektuar. Ju duhet të krijoni një kopje rezervë të të gjitha të dhënave të vlefshme në mënyrë që në rast infektimi të mos i humbni ato.

Ekspertët e Group-IB këshillojnë gjithashtu bllokimin e adresave IP dhe emrat e domeneve nga e cila u bë shpërndarja skedarë me qëllim të keq, vendosi përdoruesve bllokues të dritareve.

Ne ju rekomandojmë gjithashtu që të izoloni shpejt kompjuterët në një sistem zbulimi të ndërhyrjeve. Përdoruesit e PC duhet gjithashtu të kontrollojnë rëndësinë dhe integritetin e kopje rezervë nyjet kryesore të rrjetit dhe përditësojnë sistemet operative dhe sistemet e sigurisë.

"Për sa i përket politikës së fjalëkalimit: sipas cilësimeve të politikës së grupit, çaktivizoni ruajtjen e fjalëkalimeve në LSA Dump in formë e hapur. Ndryshoni të gjitha fjalëkalimet në ato komplekse”, shtoi kompania.

paraardhësit

Virusi WannaCry në maj 2017 u përhap në të paktën 150 vende të botës. Ai e kodoi informacionin dhe kërkoi të paguante një shpërblim, sipas burimeve të ndryshme, nga 300 deri në 600 dollarë.

Më shumë se 200 mijë përdorues vuajtën prej tij. Sipas një versioni, krijuesit e tij morën si bazë malware-in amerikan NSA Eternal Blue.

Sulmi global i virusit ransomware Petya më 27 qershor goditi sistemet IT të kompanive në disa vende të botës, duke prekur në një masë më të madhe Ukrainën.

U sulmuan kompjuterët e kompanive të naftës, energjisë, telekomunikacionit, farmaceutikës, si dhe agjencive qeveritare. Policia kibernetike e Ukrainës deklaroi se sulmi i virusit ransomware ndodhi përmes programit "M.E.doc".

Materiali i përgatitur në bazë të burimeve të hapura

Ransomware i njohur si Bad Rabbit ka sulmuar dhjetëra mijëra kompjuterë në Ukrainë, Turqi dhe Gjermani. Por shumica e sulmeve ishin kundër Rusisë. Çfarë lloj virusi është ky dhe si ta mbroni kompjuterin tuaj, ne tregojmë në seksionin tonë "Pyetje dhe Përgjigje".

Kush vuajti në Rusi nga Bad Rabbit?

Shpërblesa Bad Rabbit filloi të përhapet më 24 tetor. Ndër viktimat e veprimeve të tij janë agjencia e lajmeve Interfax dhe botimi Fontanka.ru.

Metroja e Kievit dhe aeroporti i Odessa gjithashtu pësuan nga veprimet e hakerëve. Pasi u bë e ditur për një përpjekje për të hakuar sistemin e disa bankave ruse nga 20 më të mirat.

Sipas të gjitha indikacioneve, ky është një sulm i synuar rrjetet e korporatave, pasi përdoren metoda të ngjashme me ato të vërejtura gjatë sulmit të virusit ExPetr.

Virusi i ri bën një kërkesë për të gjithë: një shpërblim prej 0,05 bitcoin. Për sa i përket rublave, kjo është rreth 16 mijë rubla. Njëkohësisht ai bën me dije se koha për përmbushjen e kësaj kërkese është e kufizuar. Për gjithçka për çdo gjë, jepen pak më shumë se 40 orë. Më tej, tarifa e shpërblimit do të rritet.

Çfarë është ky virus dhe si funksionon?

A e keni kuptuar tashmë se kush qëndron pas shpërndarjes së tij?

Nuk ka qenë e mundur të zbulohet se kush qëndron pas këtij sulmi. Hetimi i çoi programuesit vetëm te emri i domenit.

Specialistët kompanitë antivirus vini re ngjashmërinë e virusit të ri me virusin Petya.

Por, ndryshe nga viruset e mëparshme të këtij viti, këtë herë hakerët vendosën të largohen mënyrë e thjeshtë, sipas 1tv.ru.

"Me sa duket, kriminelët prisnin që në shumicën e kompanive, përdoruesit të përditësonin kompjuterët e tyre pas këtyre dy sulmeve dhe vendosën të provonin një mjet mjaft të lirë - Inxhinieri sociale për të infektuar përdoruesit në fillim relativisht të padukshëm, "tha Vyacheslav Zakorzhevsky, kreu i departamentit të kërkimit antivirus në Kaspersky Lab.

Si ta mbroni kompjuterin tuaj nga një virus?

Sigurohuni që të bëni kopje rezervë të sistemit tuaj. Nëse përdorni Kaspersky, ESET, Dr.Web ose analoge të tjera të njohura për mbrojtje, duhet të përditësoni menjëherë bazat e të dhënave. Gjithashtu, për Kaspersky, duhet të aktivizoni "Activity Monitoring" (System Watcher), dhe të aplikoni nënshkrime me përditësimin 16295 në ESET, informon talkdevice.

Nëse nuk keni programe antivirus, bllokoni ekzekutimin e skedarëve C:\Windows\infpub.dat dhe C:\Windows\cscc.dat. Kjo bëhet përmes redaktorit. politikat e grupit ose applocker për Windows.

Çaktivizoni shërbimin - Windows Management Instrumentation (WMI). Nëpërmjet butonin e djathtë futni vetitë e shërbimit dhe zgjidhni modalitetin "Lloji i fillimit" si "Disabled".

Ai tashmë është infektuar tre kompjutera Mediat ruse dhe, me siguri, edhe ai shkaktoi probleme sistemet e informacionit në Ukrainë.

Tek faqeshënuesit

Pasditen e 24 tetorit, faqet e internetit të agjencisë së lajmeve Interfax dhe gazetës së Shën Peterburgut Fontanka do të funksionojnë: përfaqësuesit e të dyjave raportuan se arsyeja ishte sulmi i virusit. Më vonë, për sulmin e hakerëve në Ministrinë e Infrastrukturës së Ukrainës, metronë e Kievit dhe aeroportin e Odessa.

Nuk dihet ende me siguri nëse të gjitha këto sulme janë të lidhura, por të gjitha ndodhën pothuajse në të njëjtën kohë - u bënë të njohura me një diferencë prej disa orësh. Në minimum, mediat ruse u sulmuan nga i njëjti virus kriptimi, thotë Group-IB, dhe sqaron se viktimat e tij mund të bëhen edhe institucionet shtetërore në Ukrainë.

Vetë krijuesit e virusit e quajnë atë Bad Rabbit. TJ zbulon atë që dihet për virusin.

  • Infeksioni Bad Rabbit të kujton majin e vitit 2017: ai preku kryesisht kompani në Rusi dhe Ukrainë, virusi u përhap shumë shpejt, hakerët kërkuan një shpërblim. Por Group-IB thotë se Bad Rabbit në vetvete nuk është si Petya.A ose WannaCry - tani ekspertët po studiojnë kompjuterët e infektuar;
  • Një virus infekton një kompjuter duke enkriptuar skedarët në të. Ju nuk mund t'i qaseni ato. Shfaqet në ekranin e kompjuterit mesazh i detajuar me udhëzime: Kanali Telegram i Group-IB postoi foto të shembujve të kompjuterëve të tillë të infektuar;

Foto Group-IB

  • Udhëzimet thonë se për të deshifruar skedarët, duhet vetëm të futni një fjalëkalim. Por për ta marrë atë, duhet të bëni një rrugë të gjatë. Së pari, shkoni në një faqe të veçantë në caforssztxqzf2nm.onion në rrjetin e errët - kjo do të kërkojë Shfletuesi Tor. Duke gjykuar nga fotot e publikuara nga Group-IB, faqja është e njëjtë kudo;
  • Sajti tregon gjithashtu emrin e virusit - Bad Rabbit. Për të marrë një fjalëkalim për të deshifruar të dhënat, hakerët kërkojnë që të futni një "kod personal instalimi" - një shifër e gjatë nga një mesazh i shfaqur në një ekran kompjuteri. Pas kësaj, do të shfaqet adresa e portofolit të bitcoin në të cilën dëshironi të transferoni para;
  • Sipas faqes së internetit Bad Rabbit, ransomware kërkon një shpërblim prej 0.05 BTC për çdo kompjuter. Me kursin e këmbimit që nga 24 tetori, kjo është rreth 283 dollarë ose 16.5 mijë rubla (Petya.A kërkoi gjithashtu rreth 300 dollarë);
  • Përsëri, sipas faqes së internetit të virusit, ransomware jep vetëm dy ditë (48 orë) për të paguar shpërblimin fillestar. Pas skadimit të kësaj periudhe, çmimi për deshifrimin e skedarëve do të rritet, sa nuk dihet;
  • Nuk ishte e mundur të kontrollohej adresa e portofolit të bitcoin në të cilën hakerët marrin fonde duke përdorur kodet e disponueshme nga fotot e Group-IB. Ndoshta ato janë përdorur tashmë, ndoshta kemi bërë një gabim - në fund të fundit, kodi është 356 karaktere;

Virusi BadRabbit funksionon si një kërcënim i ri kriptosh që ka arritur të bëjë kërdi në Evropën Lindore. Ai vepron në mënyrë të ngjashme me famëkeqin ose ransomware që shpërtheu në hapësirën kibernetike disa muaj më parë. Duke parë më afër, megjithëse ka ngjashmëri dhe profesionistët e IT dyshojnë se zhvilluesi mund të jetë i njëjtë, por kodi burimor është shumë i ndryshëm.

Aktiv ky moment numri i viktimave thuhet se ka kaluar mbi 200. Zhvilluesit duket se kanë një mospëlqim të fortë për Rusinë dhe Ukrainën, pasi këto dy vende janë goditur më së shumti. Objektivat kryesore janë Aeroporti Ndërkombëtar i Odesës në Ukrainë dhe disa korporata mediatike në Rusi, duke përfshirë Interfax, Fontanka.ru, e të tjera.Përveç kësaj, sulmi u përhap edhe në vendet fqinje si Turqia dhe Bullgaria.

Drejtoni sulmin përmes përditësimeve të rreme të Flash Player

Produkt Adobe Flash Player demonstroi edhe një herë suksesin e zhvilluesve të malware. Komponenti kryesor me qëllim të keq i programit është i maskuar si i rremë Përditësimet flash. Malware shkarkohet si instaloni_ blic_ lojtar. exe skedar nga faqet e dëmtuara. E keqe Shpërblim lepuri gjithashtu mund të maskohen si emra alternativë skedarësh.

Siç tregon analiza e VirusTotal, kërcënimi mund të fshihet në një "çinstalues" të caktuar. Për fat të mirë, infeksioni tashmë po zbulohet nga shumica e aplikacioneve të sigurisë. Malware shfrytëzon disa dobësi Serverët SMB, e cila shpjegon pse është në gjendje të depërtojë në serverë.

Pas pushtimit të Bad Rabbit, ransomware krijohet C:\ Dritaret\ infpub. datë dosje. Prandaj gjeneron skedarët e mëposhtëmC:\ Dritaret\ cscc. datë Dhe C:\ Dritaret\ dispci. exe. Ata janë përgjegjës për ndryshimin e cilësimeve të MBR. Është interesante se malware ofron lidhje me personazhet e Game of Thrones. Malware BadRabbit krijon tre detyra të emërtuara sipas tre dragonjve në seri:

  • C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat,#1 15
  • cmd.exe /c schtasks /Fshi /F /TN rhaegal
  • cmd.exe /c schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR
  • cmd.exe /c schtasks /Krijo /SC një herë /TN drogon /RU SYSTEM /TR:00
  • C:\Windows\AF93.tmp"\

Ai gjithashtu përdor një shërbim të kodimit me burim të hapur. Kodi i burimit i quajtur DiskCryptor. Më vonë ai përdor metoda standarde Kriptimi AE dhe RSA-2048. Ato janë të destinuara për formate të ndryshme dosjet. Sepse Petya.A nuk shton ekstensionin e skedarit, por ndërhyn në cilësimet Master Boot Record (MBR).

Ai rinis sistemin dhe shfaq të njëjtin shënim shpërblyese si NotPetya. Ai gjithashtu i drejton viktimat në faqen e tij unike të pagesave. Ai i informon shkurtimisht për malware dhe kërkon një shpërblim prej 0.05 BTC. Pas infiltrimit të suksesshëm në sistem, malware përdor Mimikatz për të marrë informacion teknik rreth pajisjeve të tjera të dukshme në të njëjtin rrjet.

Virusi BadRabbit vazhdon mizorinë e Petya.
Metoda 1. (Modaliteti i sigurt)
zgjidhni " mënyra e sigurt me rrjete" Metoda 1. (Modaliteti i sigurt)
Zgjidhni "Aktivizo modalitetin e sigurt me rrjetëzimin"

Zgjidhni "Safe Mode me Command Prompt" Metoda 2. (Rivendosja e Sistemit)
Zgjidhni "Aktivizo modalitetin e sigurt me vijën e komandës"
Metoda 2. (Rivendosja e Sistemit)
Shkruani "cd restore" pa thonjëza dhe shtypni "Enter"
Metoda 2. (Rivendosja e Sistemit)
Shkruani "rstrui.exe" pa thonjëza dhe shtypni "Enter"
Metoda 2. (Rivendosja e Sistemit)
Në dritaren "Rivendosja e sistemit" që shfaqet, zgjidhni "Next"
Metoda 2. (Rivendosja e Sistemit)
Zgjidhni pikën tuaj të rimëkëmbjes dhe klikoni "Next"
Metoda 2. (Rivendosja e Sistemit)
Klikoni "Po" dhe filloni rikuperimin e sistemit ⇦ ⇨

Rrëshqitje 1 nga 10

Për shembull, ose do t'ju ndihmojë të identifikoni një infeksion. Një mjet i tillë mund t'ju ndihmojë të kryeni heqjen e BadRabbit. Më poshtë do të gjeni udhëzime se si të rivendosni aksesin në kompjuterin tuaj. Pas kësaj ju do të jeni në gjendje të hiqni virusin Bad Rabbit.

Eliminimi i Kërcënimit të Kriptove BadRabbit

Për shkak të metodave specifike të punës, nuk është çudi pse malware quhet Petya e ardhshme. Nëse jeni duke përjetuar këtë fatkeqësi kibernetike, ju lutemi ndiqni udhëzimet e mëposhtme. Për shkak se ransomware modifikon cilësimet MBR, ju nuk do të jeni në gjendje ta nisni menjëherë kompjuterin tuaj në mënyra e sigurt. Ndiqni udhëzimet e rivendosjes së MBR.

Pas kësaj, rinisni kompjuterin tuaj në modalitetin e sigurt, riaktivizoni aplikacionet tuaja të sigurisë dhe hiqni virusin BadRabbit. Pas skanimit, niseni kompjuterin mënyrë normale dhe përsërisni procedurën. Kjo do të konfirmojë që heqja e Bad Rabbit ka përfunduar. Ju lutemi vini re se heqja e malware nuk rikthen skedarët e koduar. Provoni t'i rivendosni ato nga kopjet rezervë. Më poshtë do të gjeni disa sugjerime.

Në Windows 7:

  1. Fut DVD 7 Windows.
  2. Nis DVD.
  3. Zgjidhni gjuhën dhe cilësimet e tastierës. Klikoni Me tutje.
  4. Zgjidhni tuajin sistemi operativ, kontrolloni Përdor mjetet e rimëkëmbjes dhe klikoni Me tutje.
  5. Prisni që të shfaqet ekrani Opsione rikuperimi i sistemit dhe zgjidhni linja e komandës.
  6. Shkruani komandat e mëposhtme dhe shtypni Enter pas secilës: bootrec / rindërtuarbcd, bootrec / fixmbr, andbootrec / fixboot.
  7. Ekstrakt DVD instalimi-disk dhe rinisni kompjuterin tuaj.

Aktiv Sistemet Windows 8/10:

  1. Fusni DVD-në e instalimit ose diskun USB të rikuperimit.
  2. Zgjidhni një opsion Duke rregulluar kompjuterin tuaj.
    3. Zgjidhja e problemeve dhe shkoni në linja e komandës.
  3. Futni komandat e mëposhtme një nga një dhe shtypni Hyni pas çdo: bootrec / FixMbr, bootrec / Fixboot, bootrec / ScanOs, Dhe bootrec / RindërtimiBcd.
  4. Hiq rikuperimin DVD ose USB.
  5. Shkruani exit dhe shtypni Enter.
  6. Rinisni kompjuterin tuaj.

Disa media ruse dhe organizata ukrainase janë sulmuar nga ransomware Bad Rabbit. Në veçanti, hakerët sulmuan tre media ruse, përfshirë Interfax dhe Fontanka.

Më 24 tetor, një sulm i ri kibernetik në shkallë të gjerë filloi duke përdorur virusin e enkriptimit Bad Rabbit. Malware goditi rrjetet kompjuterike Metro Kiev, Ministria e Infrastrukturës, Aeroporti Ndërkombëtar"Odessa". Disa viktima gjithashtu përfunduan në Rusi - si rezultat i sulmit, redaksia e mediave federale si Interfax dhe Fontanka pësuan.

Kill Switch: duhet të krijoni një skedar C:\windows\infpub.dat dhe ta vendosni në vetëm për lexim. Në këtë rast, edhe nëse infektohen, skedarët nuk do të kodohen.

Me shumë mundësi, virusi përhapet përmes faqeve të internetit të hakuara, duke i shtyrë përdoruesit të instalojnë një përditësim flash player:

Analiza paraprake tregon se malware po përhapet përmes një numri faqesh të mediave ruse të infektuara. Të gjitha shenjat tregojnë për këtë si një sulm të synuar ndaj rrjeteve të korporatave.

Pas depërtimit në kompjuterin e viktimës malware kodon skedarët e përdoruesit. Për të rivendosur aksesin në të dhënat e koduara, propozohet të paguhet një shpërblim prej 0,05 bitcoin, i cili me kursin aktual është afërsisht i barabartë me 283 dollarë amerikanë ose 15,700 rubla. Në të njëjtën kohë, sulmuesit paralajmërojnë se në rast vonese, çmimi për deshifrimin do të rritet.

Detaje rreth skemës së shpërndarjes së Bad Rabbit nuk janë ende të disponueshme. Gjithashtu nuk është e qartë nëse skedarët mund të deshifrohen. Por tashmë dihet se shumica e viktimave të sulmit janë në Rusi. Gjithashtu, sulme të ngjashme u regjistruan në Ukrainë, Turqi dhe Gjermani, por në numër shumë më të vogël.

RRETH sulm hakeri raportoi shërbimi për shtyp i Metro Kiev. Hakerët arritën të prishin aftësinë për të paguar udhëtimin duke përdorur karta bankare pa kontakt. "Vëmendje! Sulm kibernetik! Metro funksionon si zakonisht, përveç shërbimeve bankare (pagesa pa kontakt karta bankare në rrotullën e verdhë ose MasterPass),” sipas llogari zyrtare Metroja e Kievit në Facebook.

Sulmuesit u kërkojnë viktimave të tyre të ndjekin lidhjen që çon në faqen TOR, e cila drejton një numërues automatik. Pas pagesës, sipas sulmuesve, viktima duhet të marrë një çelës personal deshifrimi.

Deri më tani, metodat e shpërndarjes dhe fiksimit në sistem janë të panjohura, dhe gjithashtu nuk ka informacion të besueshëm disponueshmëria e çelësave të deshifrimit.

Kaspersky Lab rekomandon veprimet e mëposhtme:

Blloko ekzekutimin e skedarit c:\windows\infpub.dat, C:\Windows\cscc.dat.
Çaktivizoni (nëse është e mundur) përdorimin e shërbimit WMI.
Postimi do të përditësohet kur informacioni të bëhet i disponueshëm.

Artikujt kryesorë të lidhur

Ku të shkarkoni ikonat e dosjeve dhe si t'i instaloni ato Ikona shtesë të dosjeve
Ku të shkarkoni ikonat e dosjeve dhe si t'i instaloni ato Ikona shtesë të dosjeve
Shkarkoni fontin rus të ekranit Shkronja cirilike e ekranit
Shkarkoni fontin rus të ekranit Shkronja cirilike e ekranit
Promovimi i faqes së uljes: e vështirë, por jo vdekjeprurëse
Promovimi i faqes së uljes: e vështirë, por jo vdekjeprurëse
Kategoritë:
© 2023 bumotors.ru. Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ.