Virusi ransomware i njohur si Bad Rabbit ka sulmuar dhjetëra mijëra kompjuterë në Ukrainë, Turqi dhe Gjermani. Por shumica e sulmeve ranë mbi Rusinë. Çfarë lloj virusi është dhe si të mbroni kompjuterin tuaj, ne do t'ju tregojmë në seksionin tonë "Pyetje dhe përgjigje".
Kush vuajti në Rusi nga Bad Rabbit?
Virusi i ransomware Bad Rabbit filloi të përhapet më 24 tetor. Ndër viktimat e veprimeve të tij janë agjencia e lajmeve Interfax dhe botimi Fontanka.ru.
Gjithashtu, metroja e Kievit dhe aeroporti i Odessa vuajtën nga veprimet e hakerëve. Pastaj u bë e njohur për një përpjekje për të hakuar sistemin e disa bankave ruse nga 20 më të mirat.
Sipas të gjitha indikacioneve, ky është një sulm i synuar në rrjetet e korporatave, pasi përdoren metoda të ngjashme me ato të vërejtura gjatë sulmit të virusit ExPetr.
Virusi i ri bën një kërkesë për të gjithë: një shpërblim prej 0.05 bitcoin. Për sa i përket rublave, kjo është rreth 16 mijë rubla. Megjithatë, ai bën me dije se koha për të përmbushur këtë kërkesë është e kufizuar. Për çdo gjë jepen pak më shumë se 40 orë. Më tej, tarifa e shpërblimit do të rritet.
Çfarë është ky virus dhe si funksionon?
A e keni kuptuar tashmë se kush qëndron pas përhapjes së tij?
Nuk është bërë ende e mundur të zbulohet se kush qëndron pas këtij sulmi. Hetimi i çoi programuesit vetëm te emri i domenit.
Specialistët e antiviruseve vënë në dukje ngjashmërinë e virusit të ri me virusin Petya.
Por, ndryshe nga viruset e kaluar këtë vit, këtë herë hakerët vendosën të shkojnë në rrugën e thjeshtë, transmeton 1tv.ru.
"Me sa duket, kriminelët prisnin që në shumicën e kompanive përdoruesit të përditësonin kompjuterët e tyre pas këtyre dy sulmeve dhe vendosën të provonin një mjet mjaft të lirë - inxhinierinë sociale në mënyrë që të infektonin përdoruesit relativisht pa u vënë re për herë të parë," tha kreu i anti - Departamenti i kërkimit të viruseve në Kaspersky Lab. Vyacheslav Zakorzhevsky.
Si ta mbroni kompjuterin tuaj nga një virus?
Sigurohuni që të bëni kopje rezervë të sistemit tuaj. Nëse përdorni Kaspersky, ESET, Dr.Web ose analoge të tjera të njohura për mbrojtje, duhet të përditësoni menjëherë bazat e të dhënave. Gjithashtu, për Kaspersky është e nevojshme të aktivizohet "Monitorimi i aktivitetit" (System Watcher), dhe në ESET të aplikohen nënshkrimet me përditësimin 16295, informon talkdevice.
Nëse nuk keni softuer antivirus, bllokoni ekzekutimin e skedarëve C: \ Windows \ infpub.dat dhe C: \ Windows \ cscc.dat. Kjo bëhet përmes Redaktorit të Politikave të Grupit ose AppLocker për Windows.
Parandaloni funksionimin e shërbimit - Windows Management Instrumentation (WMI). Nëpërmjet butonit të djathtë futni vetitë e shërbimit dhe zgjidhni modalitetin "Disabled" në "Lloji i fillimit".
Pershendetje te gjitheve! Vetëm një ditë më parë, një sulm në shkallë të gjerë hakeri nga virusi i ri i ransomware Bad Rabbit, i njohur si Diskcoder.D, filloi në Rusi dhe Ukrainë, Turqi, Gjermani dhe Bullgari. ransomware aktualisht po sulmon rrjetet e korporatave të organizatave të mëdha dhe të mesme, duke bllokuar të gjitha rrjetet. Sot do t'ju tregojmë se çfarë është ky Trojan dhe si mund të mbroheni prej tij.
Çfarë lloj virusi?
Bad Rabbit (Bad Rabbit) funksionon sipas skemës standarde për ransomware: duke hyrë në sistem, ai kodon skedarët, për deshifrimin e të cilave hakerat kërkojnë 0,05 bitcoin, i cili me kursin e këmbimit është 283 dollarë (ose 15,700 rubla). Kjo raportohet në një dritare të veçantë, ku në të vërtetë duhet të futni çelësin e blerë. Kërcënimi është i tipit trojan Trojan.Win32.Generic, megjithatë ai përmban edhe komponentë të tjerë si p.sh Objekt i rrezikshëm.Multi.Gjenerik dhe Ransom .Win 32.Gen.ftl.
Bad Rabbit - virus i ri ransomware
Është ende e vështirë të gjurmosh plotësisht të gjitha burimet e infeksionit, por ekspertët tani janë të angazhuar në këtë. Me sa duket, kërcënimi hyn në PC përmes faqeve të infektuara në të cilat është konfiguruar ridrejtimi, ose nën maskën e përditësimeve të rreme për shtojcat e njohura si Adobe Flash. Lista e vendeve të tilla vetëm po zgjerohet deri më tani.
A mund të hiqet një virus dhe si mund të mbrohem?
Duhet thënë menjëherë se për momentin të gjithë laboratorët antivirus kanë filluar të analizojnë këtë Trojan. Nëse kërkoni në mënyrë specifike informacione se si të hiqni një virus, atëherë ai, si i tillë, nuk është. Le të hedhim poshtë këshillat standarde menjëherë - bëni një kopje rezervë të sistemit, një pikë kthimi, fshini skedarët e tillë dhe të tillë. Nëse nuk keni asnjë kursim, atëherë gjithçka tjetër nuk funksionon, hakerët kanë menduar momente të tilla, për shkak të specifikimit të virusit.
Mendoj se në një kohë të shkurtër do të shpërndahen dekoratorë të punuar nga amatorë për Bad Rabbit - nëse këto programe do të përdoren apo jo, kjo është biznesi juaj. Siç tregoi ransomware i kaluar Petya, kjo ndihmon pak njerëz.
Por ju mund ta parandaloni kërcënimin dhe ta hiqni atë kur përpiqeni të futeni në PC. Të parët që iu përgjigjën raporteve për një shpërthim virusi ishin laboratorët e Kaspersky dhe ESET, të cilët tashmë po bllokojnë përpjekjet për depërtim. Shfletuesi Google Chrome gjithashtu filloi të identifikojë burimet e infektuara dhe të paralajmërojë për rrezikun e tyre. Ja çfarë duhet të bëni për të mbrojtur veten nga BadRabbit në radhë të parë:
- Nëse përdorni Kaspersky, ESET, Dr.Web ose analoge të tjera të njohura për mbrojtje, atëherë duhet të përditësoni bazat e të dhënave. Gjithashtu, për Kaspersky duhet të aktivizoni System Watcher dhe në ESET aplikoni nënshkrime me përditësimin 16295.
- Nëse nuk përdorni softuer antivirus, atëherë duhet të bllokoni ekzekutimin e skedarëve C: \ Windows \ infpub.dat dhe C: \ Windows \ cscc.dat... Kjo bëhet përmes Redaktorit të Politikave të Grupit ose AppLocker për Windows.
- Sigurohuni që të bëni kopje rezervë të sistemit tuaj. Në teori, një kopje duhet të ruhet gjithmonë në një media plug-in. Këtu është një video tutorial i shkurtër se si ta krijoni atë.
Këshillohet që të mos lejohet ekzekutimi i shërbimit - Instrumentet e menaxhimit të Windows (WMI)... Në dhjetëshen e parë quhet shërbimi Instrumentet e menaxhimit të Windows... Përdorni butonin e djathtë për të futur vetitë e shërbimit dhe zgjidhni in "Lloji i fillimit" modaliteti "I paaftë".
konkluzioni
Si përfundim, ia vlen të thuhet gjëja më e rëndësishme - nuk duhet të paguani shpërblimin, pavarësisht se çfarë është e koduar me ju. Veprime të tilla vetëm nxisin mashtruesit të krijojnë sulme të reja virusesh. Ndiqni forumet e kompanive antivirus, të cilat shpresoj se së shpejti do të hetojnë virusin Bad Rabbit dhe do të gjejnë një pilulë efektive. Sigurohuni që të ndiqni pikat e mësipërme për të mbrojtur sistemin tuaj operativ. Në rast vështirësish në zbatimin e tyre, çabonohuni në komente.
Mund të jetë një pararojë e valës së tretë të viruseve ransomware, sipas Kaspersky Lab. Dy të parët ishin WannaCry dhe Petya sensacionale (aka NotPetya). Ekspertët e sigurisë kibernetike i thanë MIR 24 për shfaqjen e një malware të ri të rrjetit dhe si të mbroheni kundër sulmit të tij të fuqishëm.
Shumica e viktimave të sulmit Bad Rabbit janë në Rusi. Ka shumë më pak prej tyre në territorin e Ukrainës, Turqisë dhe Gjermanisë, vuri në dukje kreu i departamentit të kërkimit antivirus në Kaspersky Lab. Vyacheslav Zakorzhevsky... Ndoshta vendet e dyta më aktive ishin ato ku përdoruesit ndjekin në mënyrë aktive burimet ruse të internetit.
Kur malware infekton një kompjuter, ai kodon skedarët në të. Ai përhapet duke përdorur trafikun e internetit nga burimet e hakuara të internetit, ndër të cilat ishin kryesisht faqet e mediave federale ruse, si dhe kompjuterët dhe serverët e metrosë së Kievit, Ministrisë së Infrastrukturës së Ukrainës dhe Aeroportit Ndërkombëtar të Odessa. U regjistrua gjithashtu një përpjekje e pasuksesshme për të sulmuar bankat ruse nga 20 më të mirat.
Fakti që Fontanka, Interfax dhe një sërë botimesh të tjera u sulmuan nga Bad Rabbit u njoftua dje nga Group-IB, e specializuar në sigurinë e informacionit. Analiza e kodit të virusit tregoi se Bad Rabbit është i lidhur me Not Petya ransomware, i cili në qershor këtë vit sulmoi energjinë, telekomunikacionin dhe kompanitë financiare në Ukrainë.
Sulmi po përgatitej për disa ditë dhe, megjithë shkallën e infeksionit, ransomware kërkoi sasi relativisht të vogla nga viktimat e sulmit - 0,05 bitcoin (kjo është rreth 283 dollarë ose 15,700 rubla). Shpërblesa do të ketë 48 orë. Pas skadimit të kësaj periudhe, shuma rritet.
Ekspertët e Group-IB besojnë se, me shumë mundësi, hakerët nuk kanë ndërmend të bëjnë para. Qëllimi i tyre i mundshëm është të testojnë nivelin e mbrojtjes së rrjeteve të infrastrukturës kritike të ndërmarrjeve, departamenteve qeveritare dhe kompanive private.
Është e lehtë të biesh viktimë e një sulmi
Kur një përdorues viziton një faqe të infektuar, kodi me qëllim të keq transmeton informacion në lidhje me të në një server të largët. Më pas, shfaqet një dritare pop-up që ju kërkon të shkarkoni një përditësim për Flash Player, i cili është i rremë. Nëse përdoruesi ka miratuar operacionin "Install / Install", një skedar do të shkarkohet në kompjuter, i cili nga ana tjetër do të nisë enkriptuesin Win32 / Filecoder.D në sistem. Më tej, qasja në dokumente do të bllokohet, një mesazh shpërblimi do të shfaqet në ekran.
Virusi Bad Rabbit skanon rrjetin për burime të hapura të rrjetit, pas së cilës lëshon një mjet për të mbledhur kredencialet në makinën e infektuar dhe kjo "sjellje" ndryshon nga paraardhësit e tij.
Ekspertët nga zhvilluesi ndërkombëtar i softuerit antivirus Eset NOD 32 konfirmuan se Bad Rabbit është një modifikim i ri i virusit Petya, parimi i të cilit ishte i njëjtë - virusi kodonte informacionin dhe kërkoi një shpërblim në bitcoin (shuma ishte e krahasueshme me Bad Rabbit - 300 dollarë). Malware i ri rregullon gabimet e enkriptimit të skedarëve. Kodi i përdorur në virus është krijuar për të enkriptuar disqet logjike, disqet e jashtme USB dhe imazhet CD / DVD, si dhe ndarjet e diskut të bootable të sistemit.
Duke folur për audiencën e shënjestruar nga sulmet e Bad Rabbit, Drejtuesi i Mbështetjes së Shitjeve të ESET Rusi Vitaly Zemskikh deklaroi se 65% e sulmeve të ndaluara nga produktet antivirus të kompanisë ndodhën në Rusi. Përndryshe, gjeografia e virusit të ri duket kështu:
Ukrainë - 12.2%
Bullgaria - 10.2%
Turqia - 6.4%
Japonia - 3.8%
të tjerët - 2.4%
“Ransomware përdor një softuer të njohur me burim të hapur të quajtur DiskCryptor për të enkriptuar disqet e viktimës. Ekrani i mesazheve të kyçjes që shikon përdoruesi është pothuajse identik me ekranet e kyçjes Petya dhe NotPetya. Sidoqoftë, kjo është e vetmja ngjashmëri që kemi vërejtur deri më tani midis dy malware. Në të gjitha aspektet e tjera, BadRabbit është një lloj krejtësisht i ri dhe unik ransomware, "thotë CTO e Check Point Software Technologies. Nikita Durov.
Si të mbroheni nga lepuri i keq?
Pronarët e sistemeve operative përveç Windows mund të marrin frymë lehtësisht, pasi virusi i ri ransomware i bën të cenueshëm vetëm kompjuterët me këtë "bosht".
Për të mbrojtur kundër malware të rrjetit, ekspertët rekomandojnë krijimin e një skedari C: \ windows \ infpub.dat në kompjuterin tuaj, ndërsa vendosni të drejtat vetëm për lexim për të - kjo është e lehtë për t'u bërë në seksionin e administrimit. Kështu, ju do të bllokoni ekzekutimin e skedarit dhe të gjitha dokumentet që vijnë nga jashtë nuk do të kodohen edhe nëse infektohen. Për të mos humbur të dhëna të vlefshme në rast infektimi me virus, bëni një kopje rezervë (backup) tani. Dhe, sigurisht, ia vlen të kujtojmë se pagesa e shpërblimit është një kurth që nuk garanton se do të zhbllokoni kompjuterin tuaj.
Kujtojmë se virusi në maj të këtij viti është përhapur në të paktën 150 vende të botës. Ai kodoi informacionin dhe kërkoi të paguante një shpërblim, sipas burimeve të ndryshme, nga 300 deri në 600 dollarë. Më shumë se 200 mijë përdorues kanë vuajtur prej tij. Sipas njërit prej versioneve, krijuesit e tij morën si bazë malware-in amerikan NSA Eternal Blue.
Alla Smirnova foli me ekspertë
Virusi ransomware Bad Rabbit, i cili u sulmua nga mediat ruse një ditë më parë, u përpoq të sulmonte bankat ruse nga 20 më të mirat, tha për Forbes në Group-IB, i cili heton dhe parandalon krimet kibernetike. Përfaqësuesi i kompanisë nuk pranoi të sqarojë detajet e sulmeve ndaj institucioneve të kreditit, duke shpjeguar se Group-IB nuk zbulon informacione për klientët që përdorin sistemin e tij të zbulimit të ndërhyrjeve.
Sipas ekspertëve të sigurisë kibernetike, përpjekjet për të infektuar infrastrukturat e bankave ruse me një virus u zhvilluan më 24 tetor nga ora 13:00 deri në orën 15:00 me orën e Moskës. Grupi-IB beson se sulmet kibernetike kanë demonstruar mbrojtje më të mirë të bankave në krahasim me kompanitë në sektorin jo-bankar. Më herët, kompania raportoi se një virus i ri ransomware, ndoshta i lidhur me epideminë e ransomware-it të Qershorit NotPetya (siç tregohet nga rastësitë në kod), sulmoi mediat ruse. Bëhej fjalë për sistemet e informacionit të agjencisë Interfax, si dhe serverët e portalit të lajmeve në Shën Petersburg Fontanka. Për më tepër, virusi goditi sistemet e Metrosë së Kievit, Ministrinë e Infrastrukturës së Ukrainës dhe Aeroportin Ndërkombëtar të Odessa. NotPetya goditi energjinë, telekomunikacionin dhe kompanitë financiare kryesisht në Ukrainë gjatë verës. Për deshifrimin e skedarëve të infektuar me virusin BadRabbit, sulmuesit kërkojnë 0.05 bitcoin, i cili me kursin aktual të këmbimit është afërsisht i barabartë me 283 dollarë ose 15,700 rubla.
Kaspersky Lab sqaroi se këtë herë hakerët zgjodhën shumicën e viktimave në Rusi. Megjithatë, sulme të ngjashme në kompani u regjistruan në Ukrainë, Turqi dhe Gjermani, por "në një numër dukshëm më të vogël". “Të gjitha shenjat tregojnë për një sulm të synuar në rrjetet e korporatave. Metodat e përdorura janë të ngjashme me ato që kemi vërejtur në sulmin e ExPetr, por ne nuk mund të konfirmojmë lidhjen me ExPetr”, tha një zëdhënës i kompanisë. Bashkëbiseduesi i Forbes shtoi se të gjitha produktet e Kaspersky Lab "zbulojnë këto skedarë me qëllim të keq si UDS: DangerousObject.Multi.Generic".
Si të mbroheni?
Për t'u mbrojtur nga ky sulm, Kaspersky Lab rekomandoi përdorimin e një antivirusi me KSN të aktivizuar dhe modulin e Monitorimit të Sistemit. "Nëse një zgjidhje sigurie e Kaspersky Lab nuk është e instaluar, ju rekomandojmë që të ndaloni ekzekutimin e skedarëve të quajtur c: \ windows \ infpub.dat dhe C: \ Windows \ cscc.dat duke përdorur mjetet e administrimit të sistemit," këshilloi kreu i anti- Departamenti i kërkimit të viruseve i Lab Kaspersky "Vyacheslav Zakorzhevsky.
Group-IB vëren se për të parandaluar që virusi të kodojë skedarët, “është e nevojshme të krijohet skedari C: \ windows \ infpub.dat dhe t'i jepet të drejta vetëm për lexim. Pas kësaj, edhe nëse infektohen, skedarët nuk do të kodohen, tha kompania. Në të njëjtën kohë, është e nevojshme të izolohen shpejt kompjuterët që janë parë duke dërguar skedarë të tillë me qëllim të keq për të shmangur infektimin në shkallë të gjerë të kompjuterëve të tjerë të lidhur në rrjet. Pas kësaj, përdoruesit duhet të sigurojnë që kopjet rezervë të nyjeve kryesore të rrjetit të jenë të përditësuara dhe të plota.
Kur të përfundojnë hapat fillestarë, përdoruesi këshillohet të përditësojë sistemet operative dhe sistemet e sigurisë, duke bllokuar njëkohësisht adresat IP dhe emrat e domeneve nga të cilët janë shpërndarë skedarët me qëllim të keq. Group-IB rekomandon ndryshimin e të gjitha fjalëkalimeve në më komplekse dhe bllokimin e dritareve pop-up, si dhe ndalimin e ruajtjes së fjalëkalimeve në LSA Dump në tekst të qartë.
Kush qëndron pas sulmit të BadRabbit
Në vitin 2017, dy epidemitë më të mëdha të ransomware-ve u regjistruan tashmë - WannaCry (sulmuan 200,000 kompjuterë në 150 vende) dhe ExPetr. Ky i fundit është Petya dhe në të njëjtën kohë NotPetya, vëren Kaspersky Lab. Tani, sipas kompanisë, "i treti po fillon". Emri i virusit të ri të ransomware-it Bad Rabbit "është i shkruar në një faqe në rrjetin e errët, të cilës i dërgojnë krijuesit e tij për të zbuluar detajet", tha kompania. Group-IB beson se Bad Rabbit është një version i modifikuar i NotPetya me gabime të korrigjuara në algoritmin e kriptimit. Në veçanti, kodi Bad Rabbit përfshin blloqe që përsërisin plotësisht NotPetya.
ESET Rusia pajtohet që malware "Win32 / Diskcoder.D" i përdorur në sulm është një version i modifikuar i "Win32 / Diskcoder.C", i njohur më mirë si Petya / NotPetya. Siç sqaroi Vitaly Zemskikh, kreu i mbështetjes së shitjeve për ESET Rusia, në një intervistë me Forbes, statistikat e sulmeve sipas vendit "korrespondojnë kryesisht me shpërndarjen gjeografike të faqeve që përmbajnë JavaScript keqdashëse". Kështu, pjesa më e madhe e infeksioneve ka ndodhur në Rusi (65%), e ndjekur nga Ukraina (12.2%), Bullgaria (10.2%), Turqia (6.4%) dhe Japonia (3.8%).
Infeksioni me virusin Bad Rabbit ndodhi pas hyrjes në faqet e hakuara. Hakerët shkarkuan një injeksion JavaScript në burimet e komprometuara në kodin HTML, i cili u tregoi vizitorëve një dritare të rreme që ofronte për të instaluar një përditësim në Adobe Flash player. Nëse përdoruesi pranoi përditësimin, një skedar me qëllim të keq me emrin "install_flash_player.exe" u instalua në kompjuter. “Duke infektuar një stacion pune në një organizatë, kriptori mund të përhapet brenda rrjetit të korporatës nëpërmjet protokollit SMB. Ndryshe nga paraardhësi i tij Petya / NotPetya, Bad Rabbit nuk përdor shfrytëzimin EthernalBlue - në vend të kësaj, ai skanon rrjetin për burime të hapura të rrjetit, "thotë Zemskikh. Më pas, mjeti Mimikatz lëshohet në makinën e infektuar për të mbledhur kredencialet. Për më tepër, ofrohet një listë e koduar e identifikimit dhe fjalëkalimeve.
Nuk ka ende informacion se kush i organizoi sulmet e hakerëve. Në të njëjtën kohë, sipas Group-IB, sulmet masive të WannaCry dhe NotPetya, të ngjashme në natyrë, mund të lidhen me grupe hakerash të financuara nga qeveria. Ekspertët e nxjerrin këtë përfundim bazuar në faktin se përfitimi financiar nga sulme të tilla në krahasim me kompleksitetin e zbatimit të tyre është "i papërfillshëm". “Me shumë gjasa këto nuk ishin përpjekje për të fituar para, por për të kontrolluar nivelin e mbrojtjes së rrjeteve të infrastrukturës kritike të ndërmarrjeve, agjencive qeveritare dhe kompanive private,” përfundojnë ekspertët. Një përfaqësues i Group-IB konfirmoi për Forbes se virusi i fundit - Bad Rabbit - mund të jetë një test për mbrojtjen e infrastrukturës shtetërore dhe të biznesit. “Po, është e mundur. Duke pasur parasysh se sulmet janë kryer pikë-për-pikë – në objekte kritike të infrastrukturës – aeroport, metro, agjenci qeveritare”, shpjegon bashkëbiseduesi i Forbes.
Duke iu përgjigjur pyetjes për fajtorët e sulmit të fundit, ESET Rusi thekson se duke përdorur vetëm mjetet e një kompanie antivirus, është e pamundur të kryhet një hetim cilësor dhe të identifikohen ata që janë përfshirë, kjo është detyrë e specialistëve të një profili tjetër. “Si një kompani antivirus, ne identifikojmë metodat dhe objektivat e sulmit, mjetet me qëllim të keq të sulmuesve, dobësitë dhe shfrytëzimet. Kërkimi i autorëve, motivet e tyre, kombësia e kështu me radhë nuk është fusha e përgjegjësisë tonë”, tha një përfaqësues i kompanisë, duke premtuar se do të nxjerrë përfundime për emërimin e Bad Rabbit pas hetimeve. "Fatkeqësisht, në të ardhmen e afërt do të shohim shumë incidente të tilla - vektori dhe skenari i këtij sulmi kanë treguar efikasitet të lartë," - bëjnë parashikimet në ESET Rusi. Bashkëbiseduesi i Forbes kujton se në vitin 2017 kompania parashikoi një rritje të numrit të sulmeve të synuara ndaj sektorit të korporatave, kryesisht ndaj institucioneve financiare (me më shumë se 50%, sipas vlerësimeve paraprake). "Këto parashikime tani po bëhen të vërteta, ne po shohim një rritje të numrit të sulmeve të kombinuara me një rritje të dëmtimit të kompanive të prekura," pranon ai.
Përditësim 27.10.2017. Vlerësimi i mundësisë së deshifrimit. Aftësia për të rikuperuar skedarët. Verdiktet.
Cfare ndodhi?
Të martën, më 24 tetor, morëm njoftime për sulme masive duke përdorur ransomware-in Bad Rabbit. Organizatat dhe përdoruesit individualë u prekën - kryesisht në Rusi, por pati edhe raportime për viktima nga Ukraina. Ky mesazh shihet nga viktimat:
Çfarë është lepuri i keq?
Bad Rabbit i përket një familjeje të panjohur më parë të ransomware.
Si përhapet?
Malware do të përhapet duke përdorur një sulm me makinë: viktima viziton një faqe interneti të ligjshme dhe shkarkohet nga infrastruktura e organizatorit të sulmit në kompjuterin e tij. Kriminelët nuk e përdorën atë, kështu që për të infektuar, përdoruesi duhej të niste manualisht një skedar të maskuar si një instalues Adobe Flash. Megjithatë, analiza jonë konfirmon se Bad Rabbit përdori shfrytëzimin EternalRomance për t'u përhapur në rrjetet e korporatave. I njëjti shfrytëzim u përdor nga ransomware ExPetr.
Ne gjetëm një sërë burimesh të komprometuara - të gjitha janë portale lajmesh dhe sajte mediatike.
Kush është duke synuar sulmin?
Shumica e viktimave janë në Rusi. Sulme të ngjashme, por më pak masive kanë prekur vende të tjera - Ukrainë, Turqi dhe Gjermani. Numri i përgjithshëm i objektivave, sipas statistikave të KSN, arrin në 200.
Kur e zbuloi Kaspersky Lab kërcënimin?
Ne ishim në gjendje të gjurmojmë vektorin origjinal të sulmit që në fillim, në mëngjesin e 24 tetorit. Faza aktive zgjati deri në mesditë, megjithëse sulme individuale u regjistruan deri në orën 19.55 me orën e Moskës. Serveri nga i cili u shpërnda dropper Bad rabbit u mbyll atë mbrëmje.
Si ndryshon Bad Rabbit nga ransomware ExPetr? Apo është i njëjti malware?
Sipas vëzhgimeve tona, tani po flasim për një sulm të synuar në rrjetet e korporatave, metodat e tij janë të ngjashme me ato të përdorura në kohë. Për më tepër, analiza e kodit Bad Rabbit tregoi ngjashmërinë e tij të dukshme me kodin ExPetr.
Detaje teknike
Sipas informacioneve tona, ransomware do të përhapet përmes një sulmi nga makinë. Pika e ransomware ngarkohet nga adresa hxxp: // 1dnscontrol [.] Com / flash_install.php.
Viktimat ridrejtohen te ky burim keqdashës nga faqet legjitime të lajmeve.
Skedari i shkarkuar install_flash_player.exe duhet të lëshohet manualisht nga viktima. Skedari kërkon të drejta administratori për të funksionuar siç duhet, të cilat i kërkon përmes një njoftimi standard UAC. Nëse lëshohet, malware ruan DLL-në me qëllim të keq si C: Windowsinfpub.dat dhe e lëshon atë nëpërmjet rundll32.
Pseudokodi i procedurës së instalimit me qëllim të keq DLL
Me sa duket, biblioteka infpub.dat "forcon" kredencialet NTLM në makinat Windows me adresa IP pseudo të rastësishme.
Lista e koduar e kredencialeve
Biblioteka infpub.dat instalon gjithashtu një skedar të ekzekutueshëm me qëllim të keq dispci.exe v C: Windows dhe krijon një detyrë për ta ekzekutuar atë.
Pseudokodi i një procedure që krijon një detyrë për të nisur një skedar të ekzekutueshëm me qëllim të keq
Për më tepër, infpub.dat vepron si një ransomware tipik ransomware: gjen të dhënat e viktimës duke përdorur listën e integruar të shtesave dhe kodon skedarët me një çelës publik RSA 2048-bit që u përket sulmuesve.
Çelësi publik i sulmuesve dhe lista e shtesave
Parametrat e çelësit publik:
Çelësi publik: (2048 bit)
Moduli:
00: e5: c9: 43: b9: 51: 6b: e6: c4: 31: 67: e7: de: 42: 55:
6f: 65: c1: 0a: d2: 4e: 2e: 09: 21: 79: 4a: 43: a4: 17: d0:
37: b5: 1e: 8e: ff: 10: 2d: f3: df: cf: 56: 1a: 30: be: ed:
93: 7c: 14: d1: b2: 70: 6c: f3: 78: 5c: 14: 7f: 21: 8c: 6d:
95: e4: 5e: 43: c5: 71: 68: 4b: 1a: 53: a9: 5b: 11: e2: 53:
a6: e4: a0: 76: 4b: c6: a9: e1: 38: a7: 1b: f1: 8d: fd: 25:
4d: 04: 5c: 25: 96: 94: 61: 57: fb: d1: 58: d9: 8a: 80: a2:
1d: 44: eb: e4: 1f: 1c: 80: 2e: e2: 72: 52: e0: 99: 94: 8a:
1a: 27: 9b: 41: d1: 89: 00: 4c: 41: c4: c9: 1b: 0b: 72: 7b:
59: 62: c7: 70: 1f: 53: fe: 36: 65: e2: 36: 0d: 8c: 1f: 99:
59: f5: b1: 0e: 93: b6: 13: 31: fc: 15: 28: da: reklama: 1d: a5:
f4: 2c: 93: b2: 02: 4c: 78: 35: 1d: 03: 3c: e1: 4b: 0d: 03:
8d: 5b: d3: 8e: 85: 94: a4: 47: 1d: d5: ec: f0: b7: 43: 6f:
47: 1e: 1c: a2: 29: 50: 8f: 26: c3: 96: d6: 5d: 66: 36: dc:
0b: ec: a5: fe: ee: 47: cd: 7b: 40: 9e: 7c: 1c: 84: 59: f4:
81: b7: 5b: 5b: 92: f8: dd: 78: fd: b1: 06: 73: e3: 6f: 71:
84: d4: 60: 3f: a0: 67: 06: 8e: b5: dc: eb: 05: 7c: 58: ab:
1f: 61
Eksponenti: 65537 (0x10001)
style = "font-family: Consolas, Monaco, monospace;">
Ekzekutuesi dispci.exe duket se bazohet në kodin e mjetit ligjor DiskCryptor. Ai vepron si një modul i enkriptimit të diskut dhe instalon një ngarkues të modifikuar paralelisht, duke bllokuar procesin normal të nisjes së sistemit të infektuar.
Gjatë analizës së mostrave të këtij kërcënimi, ne vumë re një detaj interesant: me shumë mundësi, autorët e programit me qëllim të keq janë tifozë të Game of Thrones. Disa rreshta në kod përfaqësojnë emrat e personazheve nga ky univers.
Emrat e dragonjve nga "Game of Thrones"
Emrat e personazheve të Game of Thrones
Skema e enkriptimit
Siç e kemi përmendur tashmë, ransomware Bad Rabbit kodon skedarët dhe hard diskun e viktimës. Algoritmet e mëposhtme përdoren për skedarët:
- AES-128-CBC
- RSA-2048
Kjo është një skemë tipike e përdorur nga ransomware.
Interesante, ransomware liston të gjitha proceset e ekzekutuara dhe krahason hash-in në emër të secilit proces me listën e hash-eve që ka. Algoritmi hash i përdorur është i ngjashëm me atë të përdorur nga malware exPetr.
Krahasimi i rutinave të hashimit të Bad Rabbit dhe ExPetr
Degë e veçantë e ekzekutimit të programit
Procedura e inicializimit të flamujve në kohë ekzekutimi
Lista e plotë e hasheve nga emrat e proceseve:
| Hash | Emri i procesit |
| 0x4A241C3E | dwwatcher.exe |
| 0x923CA517 | McTray.exe |
| 0x966D0415 | dwarkdaemon.exe |
| 0xAA331620 | dwservice.exe |
| 0xC8F10976 | mfevtps.exe |
| 0xE2517A14 | dwengine.exe |
| 0xE5A05A00 | mcshield.exe |
Ndarjet e diskut të viktimës janë të koduara duke përdorur drejtuesin dcrypt.sys të DiskCryptor (ai është i ngarkuar në C: Windowscscc.dat). Kriptori dërgon kodet e nevojshme IOCTL te ky drejtues. Disa funksione janë marrë "siç janë" nga burimet e DiskCryptor (drv_ioctl.c), të tjera duket se janë shtuar nga zhvilluesit e malware.
Ndarjet e diskut janë të koduara nga drejtuesi i DiskCryptor duke përdorur AES në modalitetin XTS. Fjalëkalimi gjenerohet nga dispci.exe duke përdorur funksionin WinAPI CryptGenRandom dhe është i gjatë 32 karaktere.
Vlerësimi i fizibilitetit të deshifrimit
Të dhënat tona tregojnë se lepuri i keq, ndryshe nga ExPetr, nuk u krijua si një nepërkë (ne kemi shkruar më herët se krijuesit e ExPetr nuk janë teknikisht në gjendje të deshifrojnë një MFT të koduar duke përdorur GoldenEye). Sjellja e malware supozon se sulmuesit pas Bad Rabbit kanë mjetet e nevojshme për ta deshifruar atë.
Të dhënat që shfaqen në ekranin e makinës së infektuar si "çelës personal i instalimit # 1" janë një strukturë binare e koduar dhe e koduar me bazë 64 RSA-2048 që përmban informacionin e mëposhtëm nga sistemi i infektuar:
Sulmuesit mund të përdorin çelësin e tyre privat RSA për të deshifruar këtë strukturë dhe për të dërguar një fjalëkalim për të deshifruar diskun viktimës.
Vini re se vlera e fushës id të kaluar te dispci.exe është thjesht një numër 32-bit që përdoret për të dalluar kompjuterët e infektuar dhe aspak çelësi AES për enkriptimin e diskut, siç thuhet në disa raporte të publikuara në internet.
Gjatë analizës, ne nxorëm fjalëkalimin e krijuar nga malware nën korrigjimin e gabimeve dhe u përpoqëm ta përdornim në një sistem të kyçur pas një rindezjeje - fjalëkalimi doli dhe shkarkimi vazhdoi.
Fatkeqësisht, është e pamundur për kriminelët kibernetikë të deshifrojnë të dhënat në disqe pa një çelës RSA-2048: çelësat simetrikë gjenerohen në mënyrë të sigurt në anën e malware, gjë që në praktikë përjashton mundësinë e hamendjes së tyre.
Megjithatë, gjetëm një gabim në kodin dispci.exe: fjalëkalimi i krijuar nuk hiqet nga memoria, gjë që jep një shans të vogël për ta rikthyer atë përpara se të përfundojë dispci.exe. Në pamjen e mëposhtme të ekranit, mund të shihni se ndërsa ndryshorja dc_pass (e cila do t'i kalohet drejtuesit) do të fshihet në mënyrë të sigurt pas përdorimit, kjo nuk vlen për ndryshoren rand_str, e cila përmban një kopje të fjalëkalimit.
Pseudokodi i një procedure që gjeneron një fjalëkalim dhe kodon ndarjet e diskut
Kriptimi i skedarit
Siç e kemi përmendur tashmë, Trojan përdor një skemë tipike të enkriptimit të skedarëve. Ai gjeneron një varg të rastësishëm 32 bajt të gjatë dhe e përdor atë në algoritmin e derivimit të çelësit. Fatkeqësisht, ky varg përdor funksionin CryptGenRandom.
Algoritmi i derivimit të çelësit
Fjalëkalimi i koduar, së bashku me informacionin rreth sistemit të infektuar, shkruhet në skedarin Readme si "çelës personal i instalimit # 2".
Fakt interesant: malware nuk i kodon skedarët me atributin vetëm për lexim.
Aftësia e rikuperimit të skedarëve
Ne zbuluam se Bad Rabbit nuk fshin kopjet hije të skedarëve pas kriptimit. Kjo do të thotë që nëse shërbimi i kopjimit në hije është aktivizuar përpara infeksionit dhe enkriptimi i plotë i diskut për ndonjë arsye nuk ka ndodhur, viktima mund të rikuperojë skedarët e koduar duke përdorur mjete standarde të Windows ose shërbime të palëve të treta.
Kopje hije të paprekura nga Bad Rabbit
Ekspertët e Kaspersky Lab analizojnë në detaje ransomware për të gjetur gabime të mundshme në algoritmet e tij kriptografike.
Klientët e korporatave të Kaspersky Lab rekomandohen të:
- kontrolloni nëse të gjithë mekanizmat janë aktivizuar siç rekomandohet; sigurohuni që komponentët KSN dhe System Monitor të mos jenë të çaktivizuar (ato janë aktivë si parazgjedhje);
- përditësoni menjëherë bazat e të dhënave antivirus.
Kjo duhet të mjaftojë. Por si një masë paraprake shtesë, ne këshillojmë:
- parandaloni ekzekutimin e skedarëve C: Windowsinfpub.dat dhe C: Windowscscc.dat në Kaspersky Endpoint Security.
- konfiguroni dhe aktivizoni modalitetin "Mohoni si parazgjedhje" në komponentin "Application Startup Control" të Kaspersky Endpoint Security.
Produktet e Kaspersky Lab e përkufizojnë këtë kërcënim si:
- Trojan-Ransom.Win32.Gen.ftl
- Trojan-Ransom.Win32.BadRabbit
- Objekt i rrezikshëm.Multi.Gjenerik
- PDM: Trojan.Win32.Generic
- Intrusion.Win.CVE-2017-0147.sa.leak
http: // 1dnscontrol [.] com /
- install_flash_player.exe
- C: Windowsinfpub.dat
- C: Windowsdispci.exe
style = "font-family: Consolas, Monaco, monospace;">
