Meniu
AcasăFoto și video

Ce este virusul Bad Rabbit și cum să vă protejați computerul. Cum să te protejezi de noul virus ransomware Bad Rabbit

Virusul BadRabbit funcționează ca o nouă amenințare cripto care a reușit să provoace daune în Europa de Est. Funcționează similar cu infamul sau ransomware-ul care a izbucnit în spațiul cibernetic acum câteva luni. Aruncând o privire mai atentă, deși există asemănări și profesioniștii IT bănuiesc că dezvoltatorul poate fi același, dar cod sursă complet diferit.

Pe în acest moment se spune că numărul victimelor a depășit 200. Dezvoltatorii par să aibă o antipatie puternică pentru Rusia și Ucraina, deoarece acestea sunt cele două țări care au avut cel mai mult de suferit. Principalele ținte sunt Aeroportul Internațional Odesa din Ucraina și mai multe corporații media din Rusia, printre care Interfax, Fontanka.ru etc. În plus, atacul s-a extins și în țările vecine precum Turcia și Bulgaria.

Conduceți atacuri prin actualizări false ale Flash Player

produs Adobe Flash Player demonstrând încă o dată succesul dezvoltatorilor de programe malware. De bază componentă rău intenționată programe deghizate ca false Actualizări flash. Malware-ul se descarcă ca instala_ flash_ player. exe fișier de pe site-uri deteriorate. Rău Rabbit ransomware poate, de asemenea, să se mascheze ca nume de fișiere alternative.

După cum arată analiza VirusTotal, amenințarea poate fi ascunsă într-un anumit „dezinstalare”. Din fericire, infecția este deja detectată de majoritatea aplicațiilor de securitate. Malware-ul exploatează anumite vulnerabilități în serverele SMB, ceea ce explică de ce este capabil să pătrundă în servere.

După invazia Bad Rabbit, ransomware-ul creează C:\ Windows\ infpub. dat fişier. Prin urmare, generează următoarele fișiere - C:\ Windows\ cscc. datŞi C:\ Windows\ dispci. exe. Ei sunt responsabili pentru modificarea setărilor MBR. Interesant este că malware-ul oferă link-uri către personajele Game of Thrones. Malware-ul BadRabbit creează trei sarcini, numite după cei trei dragoni din serie:

  • C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat, #1 15
  • cmd.exe /c schtasks /Delete /F /TN rhaegal
  • cmd.exe /c schtasks /Creare /RU SYSTEM /SC ONSTART /TN rhaegal /TR
  • cmd.exe /c schtasks /Creați /SC o dată /TN drogon /RU SYSTEM /TR:00
  • C:\Windows\AF93.tmp"\

De asemenea, folosește un serviciu de criptare open source numit DiskCryptor. Mai târziu folosește metode standard Criptare AE și RSA-2048. Sunt destinate diverse formate fişiere. Deoarece Petya.A nu adaugă extensii de fișiere, ci interferează cu Setări principaleÎnregistrare de pornire (MBR).

Repornește sistemul și afișează aceeași notă de răscumpărare ca NotPetya. De asemenea, direcționează victimele către site-ul său unic de plată. El îi informează pe scurt despre malware și cere o răscumpărare de 0,05 BTC. După ce malware-ul pătrunde cu succes în sistem, folosește Mimikatz pentru a obține informatii tehnice despre alte dispozitive vizibile în aceeași rețea.

Virusul BadRabbit continuă atrocitatea lui Petya.
Metoda 1. (Mod sigur)
Selectați " Modul sigur cu networking" Metoda 1. (Mod sigur)
Selectați „Activați modul sigur cu rețea”

Selectați „Modul sigur cu linie de comandă” Metoda 2. (Restaurare sistem)
Selectați „Activați modul sigur cu linia de comandă”
Metoda 2. (Restaurare sistem)
Tastați „cd restore” fără ghilimele și apăsați „Enter”
Metoda 2. (Restaurare sistem)
Tastați „rstrui.exe” fără ghilimele și apăsați „Enter”
Metoda 2. (Restaurare sistem)
În fereastra „System Restore” care apare, selectați „Next”
Metoda 2. (Restaurare sistem)
Selectați punctul de restaurare și faceți clic pe „Următorul”
Metoda 2. (Restaurare sistem)
Faceți clic pe „Da” și începeți recuperarea sistemului ⇦ ⇨

Slide 1 din 10

De exemplu, sau vă ajută să identificați o infecție. Un astfel de instrument vă poate ajuta să eliminați BadRabbit. Mai jos veți găsi instrucțiuni despre cum să restabiliți accesul la computer. După aceasta, veți putea elimina virusul Bad Rabbit.

Eliminarea amenințării criptografice BadRabbit

Datorită metodelor sale de operare specifice, nu este de mirare de ce malware-ul este numit următorul Petya. Dacă întâmpinați acest dezastru cibernetic, urmați instrucțiunile de mai jos. Deoarece ransomware-ul modifică setările MBR, nu veți putea să vă porniți computerul modul sigur. Urmați instrucțiunile de resetare MBR.

După aceea, reporniți computerul în modul sigur, reactivați aplicațiile de securitate și eliminați virusul BadRabbit. După scanare, porniți computerul modul normalși repetați procedura. Acest lucru va confirma că eliminarea Bad Rabbit este completă. Vă rugăm să rețineți că eliminarea programelor malware nu restaurează fișierele criptate. Încercați să le restaurați din copii de rezervă. Mai jos veți găsi câteva sugestii.

Pe Windows 7:

  1. Introduceți DVD-ul Windows 7.
  2. Lansați DVD-ul.
  3. Selectați limba și setările tastaturii. Clic Următorul.
  4. Selectați sistemul dvs. de operare, bifați Utilizați instrumente de recuperare și faceți clic Următorul.
  5. Așteptați să apară ecranul Opțiuni recuperarea sistemului și selectați Linia de comandă.
  6. Intră următoarele comenziși apăsați Enter după fiecare: bootrec / rebuildbcd, bootrec / fixmbr, și bootrec / fixboot.
  7. Elimina DVD de instalare-disk și reporniți computerul.

Pe sisteme Windows 8/10:

  1. Introduceți DVD-ul de instalare sau unitatea de recuperare USB.
  2. Selectați o opțiune Repararea computerului.
    3. Depanareși du-te la Linia de comandă.
  3. Introduceți următoarele comenzi pe rând și apăsați Intră dupa fiecare: bootrec / FixMbr, bootrec / FixBoot, bootrec / ScanOs, Și bootrec / RebuildBcd.
  4. Eliminați recuperarea DVD sau USB.
  5. Tastați output și apăsați Enter.
  6. Reporniți computerul.

Salutări, dragi vizitatori și oaspeți ai acestui blog! Astăzi a apărut în lume alt virus ransomware dupa nume: " Iepure rău» — « Iepurașul rău". Acesta este al treilea ransomware de profil înalt din 2017. Cele anterioare au fost și (alias NotPetya).

Bad Rabbit - Cine a suferit deja și cere mulți bani?

Până acum, mai multe instituții de presă ruse ar fi suferit din cauza acestui ransomware - printre care Interfax și Fontanka. De asemenea, despre atac de hacker- posibil legat de același Iepure Rău, relatează aeroportul din Odesa.

Pentru decriptarea fișierelor, atacatorii cer 0,05 bitcoin, care la cursul de schimb actual este aproximativ echivalent cu 283 de dolari sau 15.700 de ruble.

Rezultatele cercetărilor Kaspersky Lab indică faptul că atacul nu folosește exploit-uri. Bad Rabbit se răspândește prin site-uri web infectate: utilizatorii descarcă un program de instalare fals Adobe Flash, îl lansează manual și, prin urmare, le infectează computerele.

Potrivit Kaspersky Lab, experții investighează acest atac și caută modalități de a-l combate, precum și posibilitatea de a decripta fișierele afectate de ransomware.

Majoritatea victimelor atacului se află în Rusia. De asemenea, se știe că atacuri similare au loc în Ucraina, Turcia și Germania, dar în număr mult mai mic. Criptograf Iepure rău se răspândește printr-un număr de site-uri media rusești infectate.

Laboratorul Kapersky consideră că toate semnele indică faptul că acesta este un atac țintit rețele corporative. Metodele folosite sunt similare cu cele pe care le-am observat în atacul ExPetr, dar nu putem confirma conexiunea cu ExPetr.

Se știe deja că produsele Kaspersky Lab detectează una dintre componentele malware folosind un serviciu cloud Kaspersky Security Rețea ca UDS:DangerousObject.Multi.Generic și, de asemenea, cu folosind System Watcher ca PDM:Trojan.Win32.Generic.

Cum să te protejezi de virusul Bad Rabbit?

Pentru a evita să deveniți victima unei noi epidemii " iepurașul rău», « Kaspersky Lab„Recomandăm să faceți următoarele:

Dacă aveți instalat Kaspersky Anti-Virus, atunci:

  • Verificați dacă dvs solutie protectoare componente ale Kaspersky Security Network and Activity Monitor (alias System Watcher). Dacă nu, asigurați-vă că îl porniți.

Pentru cei care nu au acest produs:

  • Blocați execuția fișierului c:\windows\infpub.dat, C:\Windows\cscc.dat. Acest lucru se poate face prin .
  • Dezactivați (dacă este posibil) utilizarea serviciului WMI.

Încă foarte sfat important de la mine:

Fă-o mereu backup (backup - copie de rezervă ) fișiere care sunt importante pentru dvs. Pe suporturi amovibile, V servicii cloud! Acest lucru vă va economisi nervii, banii și timpul!

Vă doresc să nu prindeți această infecție pe computer. Aveți un internet curat și sigur!

Virusul ransomware Bad Rabbit sau Diskcoder.D. atacă rețelele corporative ale organizațiilor mari și mijlocii, blocând toate rețelele.

Bad Rabbit sau „rău iepure” cu greu poate fi numit un pionier - a fost precedat de virușii de criptare Petya și WannaCry.

Bad Rabbit - ce fel de virus

Experții companiei de antivirus ESET au investigat schema de distribuție a noului virus și au descoperit că Bad Rabbit a pătruns în computerele victimelor sub masca lui. Actualizări Adobe Flash pentru browser.

Compania de antivirus consideră că criptatorul Win32/Diskcoder.D, denumit Bad Rabbit, este o versiune modificată a Win32/Diskcoder.C, mai cunoscut sub numele de Petya/NotPetya, care a lovit sistemele IT ale organizațiilor din mai multe țări în luna iunie. Legătura dintre Bad Rabbit și NotPetya este indicată de potriviri în cod.

Atacul folosește programul Mimikatz, care interceptează datele de conectare și parolele de pe mașina infectată. De asemenea, în cod sunt deja înregistrate login-uri și parole pentru încercările de a obține acces administrativ.

Noul program rău intenționat corectează erorile de criptare a fișierelor - codul folosit în virus este conceput pentru a cripta unitățile logice, unități USB externeși imagini CD/DVD, precum și bootabile partiții de sistem disc. Așadar, experții în decriptare vor trebui să petreacă mult timp pentru a descoperi secretul virusului Bad Rabbit, spun experții.

Noul virus, potrivit experților, funcționează după o schemă standard pentru criptoare - intrând în sistem de nicăieri, codifică fișiere, pentru a căror criptare hackerii cer o răscumpărare în bitcoins.

Deblocarea unui computer va costa 0,05 bitcoin, adică aproximativ 283 USD la cursul de schimb actual. Dacă răscumpărarea este plătită, escrocii vor trimite un cod de cheie special care vă va permite să restaurați munca normala sistem și să nu piardă totul.

Dacă utilizatorul nu transferă fonduri în decurs de 48 de ore, valoarea răscumpărării va crește.

Dar merită să ne amintim că plata unei răscumpări poate fi o capcană care nu garantează că computerul va fi deblocat.

ESET observă că în prezent nu există nicio conexiune între malware și serverul de la distanță.

Virusul a afectat cel mai mult utilizatorii ruși și, într-o măsură mai mică, companiile din Germania, Turcia și Ucraina. Răspândirea s-a produs prin medii infectate. Site-urile infectate cunoscute au fost deja blocate.

ESET consideră că statisticile atacurilor în în mare măsură corespunde distribuției geografice a site-urilor care conțin JavaScript rău intenționat.

Cum să te protejezi

Specialiștii de la Group-IB, care este implicat în prevenirea și investigarea criminalității cibernetice, au oferit recomandări despre cum să te protejezi de virusul Bad Rabbit.

În special, pentru a vă proteja împotriva unui dăunător online, trebuie să creați fișierul C:\windows\infpub.dat pe computer și să setați drepturi de numai citire pentru acesta în secțiunea de administrare.

Această acțiune va bloca execuția fișierului, iar toate documentele care sosesc din exterior nu vor fi criptate chiar dacă sunt infectate. Trebuie să creați copie de rezervă toate datele valoroase pentru ca în caz de infecție să nu le pierzi.

Specialiștii Group-IB sfătuiesc și blocarea adreselor IP și nume de domenii, de la care a avut loc răspândirea fișiere rău intenționate, setați un blocator de ferestre pop-up pentru utilizatori.

De asemenea, se recomandă izolarea rapidă a computerelor într-un sistem de detectare a intruziunilor. Utilizatorii de computere ar trebui să verifice, de asemenea, relevanța și integritatea copiilor de rezervă ale cheii nodurile de rețeași actualizarea sistemelor de operare și a sistemelor de securitate.

„În ceea ce privește politica de parole: setări politica de grup dezactivați stocarea parolelor în LSA Dump in formă deschisă. Schimbați toate parolele cu altele complexe”, a adăugat compania.

Predecesorii

Virusul WannaCry s-a răspândit în cel puțin 150 de țări în mai 2017. El a criptat informațiile și a cerut să plătească o răscumpărare, potrivit diverselor surse, de la 300 la 600 de dolari.

Peste 200 de mii de utilizatori au fost afectați de aceasta. Potrivit unei versiuni, creatorii săi au luat drept bază malware US NSA Eternal Blue.

Atacul global Virusul ransomware Petya Pe 27 iunie a lovit sistemele IT ale companiilor din mai multe țări din lume, afectând Ucraina într-o măsură mai mare.

Calculatoare în petrol, energie, telecomunicații, companiile farmaceutice, precum și agențiile guvernamentale. Poliția cibernetică ucraineană a declarat că atacul ransomware a avut loc prin programul M.E.doc.

Materialul a fost pregătit pe baza surselor deschise

Marți, computerele din Federația Rusă, Ucraina, Turcia și Germania au fost atacate de virusul ransomware Bad Rabbit. Virusul a fost blocat rapid, dar specialiști securitatea calculatorului avertizează cu privire la apropierea unui nou „uragan cibernetic”.

Atacurile de virus au început în mijlocul zilei în Ucraina: virusul a lovit retele de calculatoare Metrou Kiev, Ministerul Infrastructurii, aeroport international Odesa. Bad Rabbit a criptat fișiere pe computere și a cerut o răscumpărare de 0,05 bitcoin.

Puțin mai târziu, agenția de știri rusă Interfax și serverul din Sankt Petersburg portal de știri„Fontanka”, în urma căreia aceste două instituții media au fost forțate să nu mai funcționeze. Potrivit Group-IB, o companie care lucrează în domeniul investigației criminalității cibernetice, marți, între orele 13:00 și 15:00, ora Moscovei, Bad Rabbit a încercat să atace mari băncile rusești, dar fără niciun rezultat. Compania ESET au raportat că atacurile de viruși au afectat utilizatori din Bulgaria, Turcia și Japonia.

Bad Rabbit a fost distribuit sub pretextul unor actualizări false și Instalatorii Adobe Flash. Falsurile au fost semnate cu certificate false care imitau certificatele Symantec.

La doar câteva ore după începerea atacului, aproape toată lumea a testat virusul cele mai mari companiiîn domeniul securității internetului. Experții de la ESET, Proofpoint și Kaspersky Lab au descoperit că Bad Rabbit a fost distribuit sub pretextul unor actualizări și programe de instalare Adobe Flash false. Falsurile au fost semnate cu certificate false care imitau certificatele Symantec.

Bad Rabbit a distribuit mai multe site-uri piratate simultan, majoritatea aparținând instituțiilor media. De asemenea, s-a stabilit că atacul a fost pregătit pentru câteva zile: ultimele actualizări Programele au fost realizate din nou pe 19 octombrie 2017.

Moștenitorul „Petit”

Acesta este al treilea atac global ransomware din acest an. Pe 12 mai, virusul WannaCry a infectat peste 300 de mii de computere din 150 de țări. WannaCry a criptat fișierele utilizatorilor pentru decriptare, extorsionarii au cerut să plătească 600 USD în criptomonedă. În special, au suferit atacuri de virus Sistemul național Asistența medicală din Marea Britanie, compania spaniolă de telecomunicații Telefonica, Ministerul Rusiei pentru Situații de Urgență, Ministerul Afacerilor Interne, Căile Ferate Ruse, Sberbank, Megafon și VimpelCom.

Prejudiciul total cauzat de WannaCry a depășit 1 miliard de dolari. În același timp, potrivit experților americani, extortioniștii au primit doar 302 plăți per valoare totală 116,5 mii de dolari.

Experții au stabilit că WannaCry a fost făcută pe baza program de hacker EternalBlue, creat de NSA din SUA și furat de hackeri. Președintele Microsoft, Brad Smith, a spus în acest sens că atacul masiv Virusul WannaCry a devenit posibil datorită faptului că CIA și Agenția de Securitate Națională a SUA (NSA) colectează date despre vulnerabilitățile software pentru propriile interese.

Atacul WannaCry dezvăluie o legătură tulburătoare între două dintre cele mai grave forme de amenințări cibernetice - acțiunile statului și grupurile criminale.

Brad Smith

Președintele Microsoft

Pe 27 iunie 2017, au început atacurile virusului ransomware NotPetya. Virusul s-a răspândit prin link-uri din mesaje e-mailși a blocat accesul utilizatorului la hard disk calculator. Ca și în cazul WannaCry, hackerii au cerut o răscumpărare pentru a restabili funcționalitatea computerului, dar de data aceasta doar 300 USD în Bitcoin.

Zeci de oameni au fost afectați de atacul NotPetya companiile rusești, inclusiv Rosneft, Bashneft, Evraz, birourile rusești ale lui Marte, Mondeles și Nivea. În Ucraina atac de virus Au fost afectate calculatoarele Kyivenergo, Ukrenergo, Oschadbank, concernul Antonov și centrala nucleară de la Cernobîl. La fel ca WannaCry, NotPetya a fost creat pe baza instrumentului EternalBlue dezvoltat de NSA din SUA.

Potrivit experților, autorul noului virus de criptare BadRabbit ar putea fi același hacker sau grup de hackeri care a scris NotPetya: fragmente care se potrivesc au fost găsite în codul ambilor viruși. Analiștii Intezer estimează că codul sursă al celor doi viruși este identic în proporție de 13%.

Bad Rabbit este versiune modificată NotPetya cu erori corectate în algoritmul de criptare.

Compania Grup-IB

Experții de la ESET și Kaspersky Lab admit, de asemenea, că Bad Rabbit poate fi un „succesor” direct al NotPetya, dar rețineți că Bad Rabbit, spre deosebire de cei doi viruși ransomware anteriori, nu folosește instrumentul EternalBlue.

Cum să te protejezi de „Bad Bunny”

Experții în securitate pe internet raportează că distribuția Bad Rabbit a fost deja oprită, dar sfătuiesc să ia măsuri de securitate. Group-IB a oferit recomandări pe canalul său Telegram cu privire la ce trebuie să faceți pentru a împiedica virusul să vă cripteze fișierele.

Trebuie să creați un fișier C:\windows\infpub.dat și să îi acordați permisiuni numai pentru citire<...>După aceasta, chiar dacă sunt infectate, fișierele nu vor fi criptate.

Compania Grup-IB

specializată în investigații privind criminalitatea cibernetică

Pentru a evita infectarea pe scară largă, este necesar să izolați rapid computerele care au fost detectate trimițând astfel de fișiere rău intenționate, a menționat compania. În plus, utilizatorii ar trebui să se asigure că copiile de rezervă ale nodurilor cheie ale rețelei sunt actuale și intacte.

De asemenea, se recomandă actualizarea sistemelor de operare și a sistemelor de securitate și, în același timp, blocarea adreselor IP și a numelor de domenii din care au fost distribuite fișiere rău intenționate. În plus, Group-IB recomandă schimbarea tuturor parolelor cu altele mai complexe și activarea blocării pop-up-urilor.

Cel mai rău ar putea fi încă să vină

Cu două zile înainte de atacul Bad Bunny, cel mai important ziar din Norvegia, Dagbladet, a publicat un articol lung în care avertizează că se apropie o „furtună cibernetică de o amploare fără precedent care ar putea închide internetul din lume”. „Cercetarea noastră arată că acum este calmul înainte de o furtună puternică. Se apropie un uragan cibernetic”, citează Dagbladet un mesaj de la compania israeliană de protecție împotriva virusurilor Check Point.

Potrivit Check Point, hackeri necunoscuți creează în prezent o rețea botnet uriașă Reaper, care infectează dispozitivele conectate la internet, cum ar fi routerele și chiar camerele. Specialiștii companiei subliniază că în în acest caz, hackerii s-au concentrat pe „Internetul lucrurilor” - dispozitive inteligente conectate la World Wide Web (de la becuri, încuietori, camere de supraveghere la frigidere și cafetiere) care pot fi controlate prin aplicații mobile sau Internetul.

Majoritatea acestor dispozitive (becuri, camere video etc. conectate la Internet) au vulnerabilități enorme. Articolele sunt de obicei livrate cu numele utilizatorului și parola standard, A software actualizat rar. Prin urmare, sunt foarte vulnerabili la atacurile hackerilor.

specializata in protectia impotriva virusilor

Specialiștii companiei au descoperit la sfârșitul lunii septembrie că cantitate uriașă obiecte similare au fost „recrutate” de hackeri pentru a răspândi virusul în alte lucruri. Astfel, virusul se răspândește mai rapid și a infectat deja milioane de dispozitive din întreaga lume, inclusiv cele mai multe Routere D-Link, Netgear și Linksys, precum și camere de securitate conectate la internet de la companii precum Vacron, GoAhead și AVTech.

Reaper botnet nu a arătat încă nicio activitate, dar companie chineză Cu privire la protecția împotriva virușilor, Qihoo 360 avertizează că un virus poate fi activat în orice moment, ceea ce duce la închiderea unor secțiuni mari ale Internetului.

Poate fi un prevestitor al celui de-al treilea val de viruși de criptare, crede Kaspersky Lab. Primele două au fost senzaționalele WannaCry și Petya (alias NotPetya). Despre apariția unui nou malware de rețea și despre cum să vă protejați de acesta atac puternic, a spus MIR 24 experții în securitate cibernetică.

Cele mai multe dintre victimele atacului Bad Rabbit se află în Rusia. Sunt mult mai puțini în Ucraina, Turcia și Germania, a remarcat șeful departamentului de cercetare antivirus de la Kaspersky Lab. Viaceslav Zakorjevski. Probabil, a doua cea mai activă țară a fost acele țări în care utilizatorii monitorizează activ resursele de internet rusești.

Când malware infectează un computer, acesta criptează fișierele de pe acesta. Este distribuit folosind traficul web din resursele de internet piratate, printre care se numără în principal site-urile mass-media federale rusești, precum și computerele și serverele metroului Kiev, Ministerul Infrastructurii ucrainean și Aeroportul Internațional Odesa. Fix și încercare nereușită ataca băncile rusești din primele 20.

Faptul că Fontanka, Interfax și o serie de alte publicații au fost atacate de Bad Rabbit a fost raportat ieri de Group-IB, companie specializată în securitatea informatiei. Analiza codului virusului a arătat că Bad Rabbit este asociat cu ransomware-ul Not Petya, care în iunie anul acesta a atacat companii de energie, telecomunicații și financiare din Ucraina.

Atacul a fost pregătit pentru câteva zile și, în ciuda amplorii infecției, ransomware-ul a cerut sume relativ mici de la victimele atacului - 0,05 bitcoin (adică aproximativ 283 de dolari sau 15.700 de ruble). 48 de ore sunt alocate pentru răscumpărare. După expirarea acestei perioade, suma crește.

Specialistii Group-IB cred ca, cel mai probabil, hackerii nu au nicio intentie sa faca bani. Scopul lor probabil este să verifice nivelul de protecție a rețelelor de infrastructură critică ale întreprinderilor, departamentelor guvernamentale și companiilor private.

Este ușor să devii victima unui atac

Când un utilizator vizitează un site infectat, cod rău intenționat transmite informații despre acesta către server la distanță. Apoi, apare o fereastră pop-up care vă cere să descărcați o actualizare pentru Flash Player, care este falsă. Dacă utilizatorul aprobă operațiunea „Instalare”, un fișier va fi descărcat pe computer, care la rândul său va lansa codificatorul Win32/Filecoder.D pe sistem. În continuare, accesul la documente va fi blocat, iar pe ecran va apărea un mesaj de răscumpărare.

Virusul Bad Rabbit scanează rețeaua pentru deschidere resursele rețelei, după care lansează un instrument pe mașina infectată pentru a colecta acreditări și acest „comportament” diferă de predecesorii săi.

Specialiști de la un dezvoltator internațional de software antivirus Eset NOD 32 a confirmat că Bad Rabbit este noua modificare Virusul Petya, al cărui principiu de funcționare era același - virusul a criptat informații și a cerut o răscumpărare în bitcoins (suma era comparabilă cu Bad Rabbit - 300 USD). Noul malware remediază erorile de criptare a fișierelor. Codul folosit în virus este conceput pentru a cripta unitățile logice, unitățile USB externe și imaginile CD/DVD, precum și partițiile de disc de sistem bootabile.

Vorbind despre audiența care a fost atacată de Bad Rabbit, șeful de asistență de vânzări la ESET Rusia Vitali Zemskikh a declarat că 65% dintre atacurile oprite de produsele antivirus ale companiei au avut loc în Rusia. Restul geografiei noului virus arată astfel:

Ucraina – 12,2%

Bulgaria – 10,2%

Turcia – 6,4%

Japonia – 3,8%

altele – 2,4%

„Ransomware-ul folosește un software bine-cunoscut cu sursă deschisă numit DiskCryptor pentru a cripta discurile victimei. Ecranul mesajului de blocare pe care îl vede utilizatorul este aproape identic cu ecranele de blocare Petya și NotPetya. Cu toate acestea, aceasta este singura similitudine pe care am văzut-o până acum între cele două programe malware. În toate celelalte aspecte, BadRabbit este un tip complet nou și unic de ransomware”, crede el la rândul său. director tehnic Tehnologii software Check Point Nikita Durov.

Cum să te protejezi de Bad Rabbit?

Titularii sisteme de operare utilizatorii non-Windows pot răsufla ușurați deoarece nou virus ransomware face vulnerabile numai computerele cu această „axă”.

Pentru a vă proteja împotriva programelor malware de rețea, experții recomandă să creați fișierul C:\windows\infpub.dat pe computer și să setați drepturi de numai citire pentru acesta - acest lucru este ușor de făcut în secțiunea de administrare. În acest fel veți bloca execuția fișierului, iar toate documentele care sosesc din exterior nu vor fi criptate chiar dacă sunt infectate. Pentru a evita pierderea datelor valoroase în cazul unei infecții cu virus, faceți acum o copie de rezervă. Și, desigur, merită să ne amintim că plata unei răscumpări este o capcană care nu garantează că computerul tău va fi deblocat.

Să vă reamintim că virusul s-a răspândit în cel puțin 150 de țări din întreaga lume în luna mai a acestui an. El a criptat informațiile și a cerut să plătească o răscumpărare, potrivit diverselor surse, de la 300 la 600 de dolari. Peste 200 de mii de utilizatori au fost afectați de aceasta. Potrivit unei versiuni, creatorii săi au luat drept bază malware-ul american NSA Eternal Blue.

Alla Smirnova a vorbit cu experți