Meniu
AcasăPrograme

Ce este virusul Bad Rabbit și cum să te protejezi de el. Bad Rabbit: un alt virus ransomware. Cum să nu te infectezi

S-a infectat deja calculatoare de trei Mass-media rusă și, probabil, a provocat și probleme cu sistemele informaționale din Ucraina.

Marcaje

În ziua de 24 octombrie, site-urile agenției de presă Interfax și ale ziarului Fontanka din Sankt Petersburg erau deschise: reprezentanții ambelor au raportat că motivul a fost atac de virus. Mai târziu despre atacul hackerilor asupra Ministerului Infrastructurii din Ucraina, metroului din Kiev și aeroportului Odesa.

Nu se știe încă cu siguranță dacă toate aceste atacuri sunt conectate, dar toate au avut loc aproximativ în același timp - au devenit cunoscute despre ele în câteva ore unul de celălalt. Cel puțin, mass-media rusă a fost atacată de același virus de criptare, spune Group-IB și clarifică că agentii guvernamentaleîn Ucraina ar putea deveni și victima acesteia.

Creatorii virusului însuși îl numesc Iepure rău. TJ explică ceea ce se știe despre virus.

  • Infecția Bad Rabbit amintește de mai 2017: a afectat în principal companii din Rusia și Ucraina, virusul s-a răspândit foarte repede, iar hackerii au cerut o răscumpărare. Dar Group-IB spune că Bad Rabbit în sine nu este ca Petya.A sau WannaCry - experții studiază acum computerele infectate;
  • Virusul infectează computerul prin criptarea fișierelor de pe acesta. Nu le puteți accesa. Se afișează ecranul computerului mesaj detaliat cu instrucțiuni: în canalul Group-IB Telegram au publicat fotografii cu exemple de astfel de computere infectate;

Fotografie de Group-IB

  • Instrucțiunile spun că pentru a decripta fișierele trebuie doar să introduceți o parolă. Dar pentru a-l obține, trebuie să mergi un drum lung. Mai întâi, accesați un site special la caforssztxqzf2nm.onion pe darknet - pentru aceasta veți avea nevoie browser Tor. Judecând după fotografiile publicate de Group-IB, site-ul este același peste tot;
  • Numele virusului este indicat pe site - Bad Rabbit. Pentru a obține parola de decriptare a datelor, hackerii vă cer să introduceți un „cod personal de instalare” - un cifr lung dintr-un mesaj afișat pe ecranul computerului. După aceasta, va apărea adresa portofelului Bitcoin către care doriți să transferați bani;
  • Potrivit site-ului web Bad Rabbit, ransomware-ul cere o răscumpărare de 0,05 Bitcoin pentru fiecare computer. La cursul de schimb din 24 octombrie, acesta este de aproximativ 283 USD sau 16,5 mii de ruble (Petya.A a cerut și aproximativ 300 USD);
  • Din nou, judecând după site-ul web al virusului, ransomware-ul oferă doar două zile (48 de ore) pentru a plăti răscumpărarea inițială. După expirarea acestei perioade, prețul pentru decriptarea fișierelor va crește, nu se știe cât;
  • Nu a fost posibilă verificarea adresei portofelului Bitcoin la care hackerii primesc fonduri folosind codurile disponibile din fotografiile Group-IB. Poate că au fost deja folosite, poate că am făcut o greșeală - până la urmă, codul are 356 de caractere;

Virusul ransomware, cunoscut sub numele de Bad Rabbit, a atacat zeci de mii de computere din Ucraina, Turcia și Germania. Dar majoritatea atacurilor au avut loc în Rusia. Ce fel de virus este acesta și cum să vă protejați computerul, vă spunem în secțiunea noastră de întrebări și răspunsuri.

Cine a suferit de iepure rău în Rusia?

Virusul ransomware Bad Rabbit a început să se răspândească pe 24 octombrie. Printre victimele acțiunilor sale se numără agenția de știri Interfax și publicația Fontanka.ru.

Metroul din Kiev și aeroportul Odesa au suferit și ele de pe urma acțiunilor hackerilor. Apoi a devenit cunoscut despre o încercare de a pirata sistemele mai multor bănci rusești din primele 20.

După toate indicațiile, acesta este un atac direcționat asupra rețelelor corporative, deoarece folosește metode similare cu cele observate în atacul cu virusul ExPetr.

Noul virus cere tuturor: o răscumpărare de 0,05 bitcoin. În ceea ce privește ruble, aceasta este de aproximativ 16 mii de ruble. Cu toate acestea, el raportează că timpul pentru îndeplinirea acestei cerințe este limitat. Se acordă puțin mai mult de 40 de ore pentru orice. În plus, taxa de răscumpărare va crește.

Ce este acest virus și cum funcționează?

Ați aflat deja cine se află în spatele răspândirii sale?

Nu a fost încă posibil să se afle cine se află în spatele acestui atac. Ancheta i-a condus pe programatori doar la numele de domeniu.

Experții de la companiile antivirus notează asemănarea noului virus cu virusul Petya.

Dar, spre deosebire de virușii anteriori din acest an, de data aceasta hackerii au decis să plece într-un mod simplu, relatează 1tv.ru.

„Se pare că infractorii se așteptau ca la majoritatea companiilor utilizatorii să-și actualizeze computerele după aceste două atacuri și au decis să încerce suficient. remediu ieftin - inginerie socială, pentru a infecta utilizatorii relativ neobservați la început”, a declarat Vyacheslav Zakorzhevsky, șeful departamentului de cercetare antivirus la Kaspersky Lab.

Cum să vă protejați computerul de un virus?

Asigurați-vă că faceți copie de rezervă sistemul dvs. Dacă utilizați Kaspersky, ESET, Dr.Web sau alți analogi populari pentru protecție, ar trebui să actualizați imediat bazele de date. De asemenea, pentru Kaspersky trebuie să activați „Monitorizarea activității” (System Watcher), iar în ESET trebuie să aplicați semnături cu actualizarea 16295, informează talkdevice.

Dacă nu aveți programe antivirus, blocați execuția fișierelor C:\Windows\infpub.dat și C:\Windows\cscc.dat. Acest lucru se face prin intermediul editorului politici de grup sau AppLocker pentru Windows.

Împiedicați funcționarea serviciului - Gestionare Windows Instrumentație (WMI). Prin butonul din dreapta introduceți proprietățile serviciului și selectați modul „Dezactivat” în „Tip de pornire”.

Poate fi un prevestitor al celui de-al treilea val de viruși de criptare, crede Kaspersky Lab. Primele două au fost senzaționalele WannaCry și Petya (alias NotPetya). Despre apariția unui nou malware de rețea și despre cum să vă protejați de acesta atac puternic, a spus MIR 24 experții în securitate cibernetică.

Cele mai multe dintre victimele atacului Bad Rabbit se află în Rusia. Sunt mult mai puțini în Ucraina, Turcia și Germania, a remarcat șeful departamentului de cercetare antivirus de la Kaspersky Lab. Viaceslav Zakorjevski. Probabil, a doua cea mai activă țară a fost acele țări în care utilizatorii monitorizează activ resursele de internet rusești.

Când malware infectează un computer, acesta criptează fișierele de pe acesta. Este distribuit folosind traficul web din resurse de internet piratate, printre care se numără în principal site-urile mass-media federale rusești, precum și computere și servere ale metroului Kiev, Ministerul Infrastructurii ucrainean, aeroport international"Odesa". Fix și încercare nereușită atac băncile rusești din primele 20.

Faptul că Fontanka, Interfax și o serie de alte publicații au fost atacate de Bad Rabbit a fost raportat ieri de Group-IB, companie specializată în securitatea informatiei. Analiza codului virusului a arătat că Bad Rabbit este asociat cu ransomware-ul Not Petya, care în iunie anul acesta a atacat companii de energie, telecomunicații și financiare din Ucraina.

Atacul a fost pregătit pentru câteva zile și, în ciuda amplorii infecției, ransomware-ul a cerut sume relativ mici de la victimele atacului - 0,05 bitcoin (adică aproximativ 283 de dolari sau 15.700 de ruble). 48 de ore sunt alocate pentru răscumpărare. După expirarea acestei perioade, suma crește.

Specialiștii Group-IB consideră că, cel mai probabil, hackerii nu au nicio intenție să facă bani. Scopul lor probabil este să verifice nivelul de protecție a rețelelor de infrastructură critică ale întreprinderilor, departamentelor guvernamentale și companiilor private.

Este ușor să devii victima unui atac

Când un utilizator vizitează un site infectat, cod rău intenționat transmite informații despre acesta către server la distanță. Apoi, apare o fereastră pop-up care vă cere să descărcați o actualizare pentru Flash Player, care este fals. Dacă utilizatorul aprobă operațiunea „Instalare”, un fișier va fi descărcat pe computer, care la rândul său va lansa codificatorul Win32/Filecoder.D pe sistem. În continuare, accesul la documente va fi blocat, iar pe ecran va apărea un mesaj de răscumpărare.

Virus rău Rabbit scanează rețeaua pentru deschidere resursele rețelei, după care lansează un instrument pe mașina infectată pentru a colecta acreditări și acest „comportament” diferă de predecesorii săi.

Specialiști de la un dezvoltator internațional de software antivirus Eset NOD 32 a confirmat că Bad Rabbit este noua modificare Virusul Petya, al cărui principiu de funcționare era același - virusul a criptat informații și a cerut o răscumpărare în bitcoins (suma era comparabilă cu Bad Rabbit - 300 USD). Noul malware remediază erorile de criptare a fișierelor. Codul folosit în virus este conceput pentru a cripta unitățile logice, unități USB externeși imagini CD/DVD, precum și bootabile partiții de sistem disc.

Vorbind despre audiența care a fost atacată de Bad Rabbit, șeful de asistență de vânzări la ESET Rusia Vitali Zemskikh a declarat că 65% dintre atacurile oprite de produsele antivirus ale companiei au avut loc în Rusia. Restul geografiei noului virus arată astfel:

Ucraina – 12,2%

Bulgaria – 10,2%

Turcia – 6,4%

Japonia – 3,8%

altele – 2,4%

„Exploaturile ransomware cunoscute software Cu sursă deschisă numit DiskCryptor pentru a cripta discurile victimei. Ecranul mesajului de blocare pe care îl vede utilizatorul este aproape identic cu ecranele de blocare Petya și NotPetya. Cu toate acestea, aceasta este singura similitudine pe care am văzut-o până acum între cele două programe malware. În toate celelalte aspecte, BadRabbit este un tip complet nou și unic de ransomware”, crede el la rândul său. director tehnic Tehnologii software Check Point Nikita Durov.

Cum să te protejezi de Bad Rabbit?

Proprietarii de alte sisteme de operare decât Windows pot răsufla ușurați, așa cum nou virus ransomware face vulnerabile doar computerele cu această „axă”.

Pentru a vă proteja împotriva programelor malware de rețea, experții recomandă să creați fișierul C:\windows\infpub.dat pe computer și să setați drepturi de numai citire pentru acesta - acest lucru este ușor de făcut în secțiunea de administrare. În acest fel veți bloca execuția fișierului, iar toate documentele care sosesc din exterior nu vor fi criptate chiar dacă sunt infectate. Pentru a evita pierderea datelor valoroase în cazul unei infecții cu virus, faceți acum o copie de rezervă. Și, desigur, merită să ne amintim că plata unei răscumpări este o capcană care nu garantează că computerul tău va fi deblocat.

Să vă reamintim că virusul s-a răspândit în cel puțin 150 de țări din întreaga lume în luna mai a acestui an. El a criptat informațiile și a cerut să plătească o răscumpărare, potrivit diverselor surse, de la 300 la 600 de dolari. Peste 200 de mii de utilizatori au fost afectați de aceasta. Potrivit unei versiuni, creatorii săi au luat drept bază malware US NSA Eternal Blue.

Alla Smirnova a vorbit cu experți

Pe 24 octombrie, mulți utilizatori din Ucraina și Rusia au fost „vizitați de Iepurașul de Paște”. Numai că nu a adus daruri și bucurie, dar cantitate uriașă probleme. Și l-au numit în consecință - Bad Rabbit (sau după cum scriu unii experți - BadRabbit). Sub acest nume a început să se răspândească un alt virus ransomware.

Cine a fost rănit?

Primele informații despre atac au apărut în dimineața zilei de 24 octombrie. Multe companii de stat din Ucraina (metrou Kiev, aeroportul Odesa) și Rusia, precum și unele instituții media, au fost afectate. Au fost atacate și instituțiile financiare, dar atacatorii nu au putut să le facă rău. La rândul lor, reprezentanții ESET au raportat că problemele au apărut nu numai în Rusia și Ucraina, ci și în Turcia, Japonia și Bulgaria.

După blocarea PC-ului, malware-ul a informat utilizatorul că pentru a debloca datele, acesta trebuie să transfere 0,05 bitcoin (echivalentul a 280 USD) în contul atacatorilor.

Cum se distribuie?

Nu se știa nimic despre metoda exactă de distribuire a malware-ului. Group-IB a remarcat că atacul a fost pregătit pentru câteva zile (deși, potrivit reprezentantului Kaspersky Lab, Costin Raiu, pregătirea a durat mult mai mult).

Cu toate acestea, astăzi se știe deja că malware-ul a fost distribuit sub masca unor actualizări regulate. Adobe Flash, fără a exploata defectul SMB care a fost exploatat anterior de ransomware-ul WannaCry și NotPetya. Dar și aici opiniile experților diferă.

Group-IB consideră că Bad Rabbit este o modificare a NotPetya, în care hackerii au reușit să corecteze erorile din algoritmul de criptare. În același timp, reprezentanții Intezer notează că codul rău intenționat este identic doar în proporție de 13%.

ESET și Kaspersky Lab au luat o poziție destul de interesantă: companiile nu exclud ca „iepurele rău” să fie un adept al lui NotPetya, dar nu fac declarații directe în acest sens.

Cum să vă protejați computerul?

Pe în acest moment Distribuția ransomware-ului a fost deja oprită, dar experții notează că merită să aveți grijă să vă protejați computerele de infecție. Pentru a face acest lucru, creați fișierele:

  • C:\Windows\infpub.dat și C:\Windows\cscc.dat;
  • eliminați toate permisiunile de execuție de la ele (blocați-le).

Virus nou ransomware Bad Rabbit (" Iepurașul rău") a atacat marți site-urile web ale unui număr de mass-media ruse. În special, sistemele informaționale ale agenției Interfax, precum și serverul din Sankt Petersburg. portal de știri„Fontanka”. După prânz, Iepure Rău a început să se răspândească în Ucraina - virusul a lovit rețele de calculatoare Metrou Kiev, Ministerul Infrastructurii, Aeroportul Internațional Odesa. Atacuri similare au fost observate în Turcia și Germania, deși în număr mult mai mic. TASS explică ce fel de virus este acesta, cum să te protejezi de el și cine ar putea fi în spatele lui.

Bad Rabbit este un virus ransomware

Programul malware vă infectează computerul prin criptarea fișierelor de pe acesta. Pentru a avea acces la ele, virusul se oferă să facă o plată pe un site specificat de pe darknet (aceasta necesită browserul Tor). Pentru a debloca fiecare computer, hackerii cer să plătească 0,05 bitcoin, adică aproximativ 16 mii de ruble sau 280 USD. Pentru răscumpărare sunt alocate 48 de ore - după expirarea acestei perioade suma crește.

Potrivit laboratorului de criminalistică informatică al Grupului-IB, virusul ransomware a încercat să atace nu numai mass-media rusă, ci și băncile rusești din primele 20, dar nu a reușit.

Potrivit laboratorului de viruși al ESET, atacul a folosit malware Diskcoder.D, o nouă modificare a criptatorului cunoscut sub numele de Petya. Versiunea anterioară Diskcoder a fost lansat în iunie 2017. În Group-IB, virusul Bad Rabbit ar fi putut fi scris de autorul NotPetya (acest versiune actualizată„Petit” 2016) sau succesorul acesteia.

„Malware-ul a fost distribuit din resursa 1dnscontrol.com. Are IP 5.61.37.209, cu aceasta nume de domeniuși adresa IP sunt asociate cu următoarele resurse: webcheck01.net, webdefense1.net, secure-check.host, firewebmail.com, secureinbox.email, secure-dns1.net”, TASS din Group-IB pe Proprietarii acestor site-uri au înregistrat multe resurse, de exemplu, așa-numitele afiliate farmaceutice - site-uri care vând medicamente contrafăcute prin spam „Este posibil să fi fost folosite pentru trimiterea de spam și phishing”, a adăugat compania.

Bad Rabbit a fost distribuit sub pretextul unei actualizări a pluginului Adobe Flash

Utilizatorii au aprobat independent instalarea acestei actualizări și astfel și-au infectat computerul. „Nu au existat vulnerabilități deloc, utilizatorii au rulat ei înșiși fișierul”, a spus Serghei Nikitin, șef adjunct al laboratorului de criminalistică informatică Group-IB. Odată intrat retea locala, Bad Rabbit fură date de conectare și parole din memorie și poate fi instalat independent pe alte computere.

Virusul este destul de ușor de evitat

Pentru a se proteja împotriva infecției cu Bad Rabbit, companiile trebuie doar să se blocheze domenii specificate pentru utilizatorii rețelei corporative. Utilizatorii casnici ar trebui să actualizeze Windows și produsul lor antivirus, astfel încât acest fișier să fie detectat ca rău intenționat.

Utilizatori antivirus încorporați sistem de operare Windows - Windows Defender Antivirus - deja de la Bad Rabbit. „Continuăm investigația și, dacă este necesar, vom lua măsuri suplimentare pentru a ne proteja utilizatorii”, a declarat Kristina Davydova, purtătoarea de cuvânt TASS a Microsoft Corporation din Rusia.

Kaspersky Lab s-a pregătit, de asemenea, să evite să devină victime ale unei noi epidemii. Producătorul de antivirus i-a sfătuit pe toată lumea să facă o copie de rezervă ( backup). În plus, compania a recomandat blocarea execuției fișierului c:\windows\infpub.dat, C:\Windows\cscc.dat și, de asemenea, dacă este posibil, interzicerea utilizării serviciului WMI.

Ministerul Telecom și Comunicații de Masă consideră că atacul asupra presei ruse nu a fost vizat

„Cu tot respectul pentru mass-media, aceasta nu este o infrastructură critică”, șeful Ministerului Telecomunicațiilor și Comunicațiilor de Masă Nikolai Nikiforov, adăugând că este puțin probabil ca hackerii să urmărească vreun obiectiv anume. În opinia sa, astfel de atacuri, în special, sunt asociate cu încălcări ale măsurilor de securitate atunci când se conectează la " internet deschis". "Cel mai probabil asta sistem informatic(Interfax - nota TASS) nu este certificat”, a sugerat ministrul.

Valul principal de răspândire a virusului s-a încheiat deja

„Acum putem vorbi despre încetarea răspândirii active a virusului, a treia epidemie este aproape de sfârşit, chiar şi domeniul prin care Bad Rabbit nu mai răspunde”, în Group-IB. Potrivit lui Serghei Nikitin, sunt posibile cazuri izolate de infecție cu virusul, în special în rețele corporative, unde login-urile și parolele au fost deja furate, iar virusul se poate instala singur, fără intervenția utilizatorului. Cu toate acestea, putem vorbi deja despre sfârșitul valului principal al celei de-a treia epidemii de virus ransomware în 2017.

Să vă reamintim că în luna mai, computerele din întreaga lume au fost atacate de un virus. Informațiile au fost blocate pe computerele infectate, iar atacatorii au cerut 600 USD în bitcoini pentru a debloca datele. În iunie, un alt virus numit Petya a atacat companii petroliere, de telecomunicații și financiare din Rusia, Ucraina și unele țări ale UE. Principiul funcționării sale a fost același: virusul a criptat informații și a cerut o răscumpărare de 300 USD în bitcoin.