Meniu
AcasăAndroid

Cum funcționează virusul ransomware Bad Rabbit. Cum să vă protejați de noul virus ransomware Bad Rabbit

Virusul BadRabbit funcționează ca o nouă amenințare cripto care a reușit să provoace daune în Europa de Est. Funcționează în mod similar cu infamul sau ransomware-ul care a izbucnit în spațiul cibernetic acum câteva luni. Aruncând o privire mai atentă, deși există asemănări, iar profesioniștii IT bănuiesc că dezvoltatorul poate fi același, dar codul sursă este complet diferit.

Pe în acest moment se spune că numărul victimelor a depășit 200. Dezvoltatorii par să aibă o antipatie puternică pentru Rusia și Ucraina, deoarece acestea sunt cele două țări care au suferit cel mai mult. Țintele principale sunt Odesa aeroport internationalîn Ucraina și mai multe corporații media din Rusia, inclusiv Interfax, Fontanka.ru etc. În plus, atacul s-a extins și în țările vecine precum Turcia și Bulgaria.

Conduceți atacuri prin actualizări false ale Flash Player

produs Adobe Flash Player demonstrând încă o dată succesul dezvoltatorilor de programe malware. De bază componentă rău intenționată programe deghizate ca false Actualizări flash. Malware-ul se descarcă ca instala_ flash_ player. exe fișier de pe site-uri deteriorate. Ransomware-ul BadRabbit poate, de asemenea, să se mascheze ca nume de fișiere alternative.

După cum arată analiza VirusTotal, amenințarea poate fi ascunsă într-un anumit „dezinstalare”. Din fericire, infecția este deja detectată de majoritatea aplicațiilor de securitate. Malware-ul exploatează anumite vulnerabilități în serverele SMB, ceea ce explică de ce este capabil să pătrundă în servere.

După invazie Iepure rău ransomware creează C:\ Windows\ infpub. dat fişier. Prin urmare, generează următoarele fișiere - C:\ Windows\ cscc. datŞi C:\ Windows\ dispci. exe. Ei sunt responsabili pentru modificarea setărilor MBR. Interesant este că malware-ul oferă link-uri către personajele Game of Thrones. Malware-ul BadRabbit creează trei sarcini, numite în serie după cei trei dragoni:

  • C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat, #1 15
  • cmd.exe /c schtasks /Delete /F /TN rhaegal
  • cmd.exe /c schtasks /Creare /RU SYSTEM /SC ONSTART /TN rhaegal /TR
  • cmd.exe /c schtasks /Creați /SC o dată /TN drogon /RU SYSTEM /TR:00
  • C:\Windows\AF93.tmp"\

De asemenea, utilizează un serviciu de criptare deschis cod sursă numit DiskCryptor. Mai târziu folosește metode standard Criptare AE și RSA-2048. Sunt destinate diverse formate fișiere. Deoarece Petya.A nu adaugă extensii de fișiere, ci interferează cu Setări principaleÎnregistrare de pornire (MBR).

Repornește sistemul și afișează aceeași notă de răscumpărare ca NotPetya. De asemenea, direcționează victimele către site-ul său unic de plată. El îi informează pe scurt despre malware și cere o răscumpărare de 0,05 BTC. După ce malware-ul pătrunde cu succes în sistem, folosește Mimikatz pentru a obține informatii tehnice despre alte dispozitive vizibile în aceeași rețea.

Virusul BadRabbit continuă atrocitatea lui Petya.
Metoda 1. (Mod sigur)
Selectați " Modul sigur cu networking" Metoda 1. (Mod sigur)
Selectați „Activați modul sigur cu rețea”

Selectați „Modul sigur cu linie de comandă” Metoda 2. (Restaurare sistem)
Selectați „Activați modul sigur cu linia de comandă”
Metoda 2. (Restaurare sistem)
Tastați „cd restore” fără ghilimele și apăsați „Enter”
Metoda 2. (Restaurare sistem)
Tastați „rstrui.exe” fără ghilimele și apăsați „Enter”
Metoda 2. (Restaurare sistem)
În fereastra „System Restore” care apare, selectați „Next”
Metoda 2. (Restaurare sistem)
Selectați punctul de restaurare și faceți clic pe „Următorul”
Metoda 2. (Restaurare sistem)
Faceți clic pe „Da” și începeți recuperarea sistemului ⇦ ⇨

Slide 1 din 10

De exemplu, sau vă ajută să identificați o infecție. Un astfel de instrument vă poate ajuta să eliminați BadRabbit. Mai jos veți găsi instrucțiuni despre cum să restabiliți accesul la computer. După aceasta, veți putea elimina virusul Bad Rabbit.

Eliminarea amenințării criptografice BadRabbit

Datorită metodelor sale de operare specifice, nu este de mirare de ce malware-ul este numit următorul Petya. Dacă întâmpinați acest dezastru cibernetic, urmați instrucțiunile de mai jos. Deoarece ransomware-ul modifică setările MBR, nu veți putea să vă porniți computerul modul sigur. Urmați instrucțiunile de resetare MBR.

După aceea, reporniți computerul în modul sigur, reactivați aplicațiile de securitate și eliminați virusul BadRabbit. După scanare, porniți computerul modul normalși repetați procedura. Acest lucru va confirma că eliminarea Bad Rabbit este completă. Vă rugăm să rețineți că eliminarea programelor malware nu restaurează fișierele criptate. Încercați să le restaurați din copii de rezervă. Mai jos veți găsi câteva sugestii.

Pe Windows 7:

  1. Introduceți DVD-ul Windows 7.
  2. Lansați DVD-ul.
  3. Selectați limba și setările tastaturii. Clic Următorul.
  4. Selectați sistemul dvs. de operare, bifați Utilizați instrumente de recuperare și faceți clic Următorul.
  5. Așteptați să apară ecranul Opțiuni recuperarea sistemului și selectați Linia de comandă.
  6. Intră următoarele comenziși apăsați Enter după fiecare: bootrec / rebuildbcd, bootrec / fixmbr, și bootrec / fixboot.
  7. Elimina DVD de instalare-disk și reporniți computerul.

Pe sisteme Windows 8/10:

  1. Introduceți DVD-ul de instalare sau unitatea de recuperare USB.
  2. Selectați o opțiune Repararea computerului.
    3. Depanareși du-te la Linia de comandă.
  3. Introduceți următoarele comenzi pe rând și apăsați Intră dupa fiecare: bootrec / FixMbr, bootrec / FixBoot, bootrec / ScanOs, Și bootrec / RebuildBcd.
  4. Eliminați recuperarea DVD sau USB.
  5. Tastați output și apăsați Enter.
  6. Reporniți computerul.

Virusul ransomware Bad Rabbit a ajuns la cele mai mari bănci rusești și și-a testat și puterea sistem de protectie Banca Centrală a Rusiei. Potrivit unei companii de investigare a criminalității cibernetice, virusul a încercat să pirateze sistemele celor mai bune 20 de bănci. Citiți despre modul în care organizațiile financiare au abordat atacurile „iepurului rău” în materialul „360”.

Următoarea știre

Banca Centrală a Rusiei a detectat un atac al hackerilor provocat de virusul Bad Rabbit asupra mai multor bănci rusești, potrivit unui comunicat de presă al autorității de reglementare. În același timp, datele organizațiilor financiare nu au fost afectate de acțiunile criptatorului, notează Banca Centrală.

O caracteristică distinctivă a acestui software rău intenționat este capacitatea sa de a colecta parole de la utilizatorii computerelor infectate, precum și de a descărca module rău intenționate suplimentare folosind datele obținute. Atacatorii trimit către scrisoare prin e-mail cu un virus încorporat, prin înșelăciune sau abuz de încredere, determină utilizatorul să deschidă un fișier rău intenționat, după care software-ul rău intenționat este activat

- mesaj de la Banca Centrală.

Autoritatea de reglementare monetară avertizează că atacurile cibernetice ar putea fi reluate. Angajații Băncii Centrale au trimis deja băncilor recomandări cu privire la modul de detectare a software-ului rău intenționat și le-au spus despre metodele de a le contracara. În plus, departamentul intenționează să analizeze atacurile cibernetice Bad Rabbit comise în Rusia și să dezvolte mecanisme de protecție împotriva virusului ransomware.

Băncile sub amenințarea armei

Cu o zi înainte, ransomware-ul Bad Rabbit a încercat să atace băncile rusești din primele douăzeci. Cu toate acestea, atacurile nu au avut succes, a declarat Ilya Sachkov, CEO al Group-IB, care investighează crimele cibernetice. Analiștii Group-IB au înregistrat încercări de a infecta virusul software de calculator o serie de bănci rusești care utilizează un sistem de detectare a intruziunilor dezvoltat de companie.

„Aceste dosare au ajuns acolo marți, între orele 13:00 și 15:00, ora Moscovei. Adică au încercat să răspândească acest virus la bănci”, a spus RIA Novosti, citând Sachkov. Reprezentanții companiei au ales să păstreze tăcerea despre care organizații bancare au fost atacate de „iepurele rău”.

Serviciul de presă al Băncii Rosselhoz a declarat redacției 360 că banca nu a înregistrat nicio încercare de a efectua atacuri cibernetice asupra sa. resurse informaționale. De asemenea, un reprezentant al unei organizații financiare a menționat că banca „realizează control și monitorizare securitatea informatiei active informaționale și este, de asemenea, dat atenție deosebită apariția unor virusuri suspecte și a activității în rețea.”

Un reprezentant al Raiffeisenbank a menționat că toate serviciile băncii funcționează ca de obicei. „Știm despre amenințare, totul masurile necesare au fost acceptate. „Raiffeisenbank acordă în mod tradițional o atenție deosebită problemelor de securitate cibernetică, atât în ​​ceea ce privește infrastructura internă, cât și serviciile oferite clienților”, a declarat secretarul de presă al băncii, Alexandra Sysoeva, pentru 360.

Sistemul bancar a reușit să respingă atacul Bad Rabbit, deoarece atacurile hackerilor asupra organizațiilor financiare sunt efectuate zilnic, a declarat Serghei Nikitin, șef adjunct al laboratorului de criminalistică informatică Group-IB, pentru 360.

Băncile se confruntă cu atacuri cibernetice în fiecare zi, deci toate e-mailurile și fișiere terță parte acolo verifică prin „sandbox” (un mediu special desemnat pentru execuție în siguranță programe de calculator- „360”). Cu toate acestea, dacă băncile nu reușesc să respingă atacul, aceasta ar duce la pierderea de date care este adesea imposibil de decriptat chiar și după ce escrocii sunt plătiți.

— Serghei Nikitin.

Expertul a remarcat că acest tip Virusul nu are ca scop furtul de fonduri de la o bancă, deoarece este specializat doar în criptarea informațiilor utilizatorilor.

Follower NuPetya


RIA Novosti / Vladimir Trefilov

Noul ransomware este versiune modificată Virusul NotPetya, care a infectat sistemele IT ale organizațiilor din mai multe țări în iunie. Legătura dintre BadRabbit și NotPetya este indicată de potriviri în cod. Acest lucru sugerează că ar putea avea același creator, a declarat Vladimir Ulianov, șeful centrului analitic Zecurion, pentru 360.

Acești viruși aparțin aceleiași clase. În același timp, criptografulNotPetya a fost mai extins deoarece a exploatat vulnerabilitățile din sistemul de operare Windows și " iepurașul rău» oferă descărcarea unui virus sub masca unui jucător. Cred că Bad Rabbit este puțin probabil să se răspândească în Rusia, deoarece protecția împotriva lui a fost deja dezvoltatăîn toate companiile antivirus ale căror aplicații sunt folosite de bănci și alte organizații

— Vladimir Ulianov.

Atacul folosește programul Mimikatz, care interceptează datele de conectare și parolele de pe mașina infectată. De asemenea, în cod sunt deja înregistrate login-uri și parole pentru încercările de a obține acces administrativ. Pentru decriptarea fișierelor, atacatorii cer 0,05 bitcoin, care la cursul de schimb actual este aproximativ echivalent cu 283 de dolari sau 15,7 mii de ruble.

Virusul ransomware BadRabbit a lansat aproape două sute de tentative de atac cibernetic în întreaga lume, potrivit unui raport Kaspersky Lab. „Majoritatea victimelor sunt în Rusia. Un număr mai mic de atacuri a fost observat și în alte țări - Ucraina, Turcia și Germania”, a menționat compania.

Pentru a evita să deveniți o victimă a „iepurului rău”, este necesar să interziceți execuția fișierelor C:\windows\infpub.dat, C:\Windows\cscc.dat și să le acordați drepturi de numai citire, a sfătuit Kaspersky Lab. utilizatorii. În plus, se recomandă izolarea rapidă a calculatoarelor specificate în bilete (evenimente în sistemul de detectare a intruziunilor), precum și verificarea relevanței și integrității copiilor de rezervă ale cheii. noduri de rețea.

Următoarea știre

Colegii de clasă

Doar zilele trecute, o pe scară largă atac de hacker noul virus ransomware Bad Rabbit, cunoscut și sub numele de Diskcoder.D. Virus în momentul prezent atacuri rețele corporative organizații mari și mijlocii, blocând toate rețelele. Astăzi vă vom spune ce este acest troian și cum vă puteți proteja de el.

Virusul Bad Rabbit funcționează după o schemă standard pentru ransomware: odată ce intră în sistem, codifică fișiere pentru decriptare ale căror hackerii cer 0,05 bitcoin, care la cursul de schimb este de 283 USD (sau 15.700 de ruble). Acest lucru este raportat într-o fereastră separată, unde trebuie de fapt să introduceți cheia achiziționată. Amenințarea aparține tipului Trojan.Win32.Generic, dar conține și alte componente, precum DangerousObject.Multi.Generic și Ransom.Win32.Gen.ftl.

Este încă dificil să urmăriți complet toate sursele de infecție, dar experții lucrează acum la acest lucru.

Probabil, amenințarea ajunge la computer prin intermediul site-urilor infectate configurate să redirecționeze sau sub pretextul unor actualizări false pentru pluginuri populare precum Adobe Flash. Lista unor astfel de site-uri este doar în creștere.

Trebuie remarcat imediat că în acest moment totul laboratoare antivirus Am început să analizăm acest troian. Dacă căutați în mod special informații despre eliminarea virușilor, atunci acestea, ca atare, nu există. Să-l aruncăm imediat sfaturi standard, cum ar fi să faceți o copie de rezervă a sistemului, un punct de întoarcere, ștergeți anumite fișiere. Dacă nu aveți salvări, atunci orice altceva nu funcționează, din cauza specificațiilor virusului, au calculat aceste puncte;

Există posibilitatea ca decriptoarele făcute de amatori pentru Bad Rabbit să fie distribuite în curând - dacă utilizați sau nu aceste programe este treaba voastră. După cum demonstrează ultimul Ransomware Petya, asta nu ajuta pe nimeni.

Dar este posibil să preveniți amenințarea și să o eliminați în timp ce încercați să intrați în computer. Fii primul care aude despre epidemie virală a reactionat laboratoarele Kasperskyși ESET, care blochează deja încercările de intruziune.

Browser Google Chrome inclusiv începerea identificării resurselor infectate și a avertiza asupra pericolului acestora. Iată ce trebuie să faceți pentru a vă proteja mai întâi de BadRabbit:

1. Dacă utilizați Kaspersky, ESET, Dr.Web sau altele pentru protecție analogi cunoscuți, atunci trebuie să actualizați bazele de date. De asemenea, pentru Kaspersky, trebuie să activați System Watcher, iar pentru ESET, să aplicați semnături cu actualizarea 16295.

2. Dacă nu utilizați antivirusuri, atunci trebuie să blocați execuția fișierelor C:\Windows\infpub.dat și C:\Windows\cscc.dat. Acest lucru se face folosind Editorul de politici de grup sau programul AppLocker pentru Windows.

3. Dacă este posibil, merită interzicerea executării serviciului - Gestionare Windows Instrumentație (WMI). În versiunea 10, serviciul se numește „Toolkit Gestionare Windows" Prin folosirea butonul din dreapta introduceți proprietățile serviciului și selectați modul „Dezactivat” în „Tip de pornire”.

Este imperativ să faceți o copie de rezervă a sistemului. În mod ideal, o copie ar trebui să fie întotdeauna stocată pe mediile conectate.

În concluzie, cel mai important lucru trebuie remarcat - nu trebuie să plătiți răscumpărarea, indiferent de ce ați criptat. Acest tip de acțiune doar încurajează escrocii să creeze altele noi. atacuri de virus. Monitorizați forumurile companiilor de antivirus, care sper că vor studia în curând virusul Bad Rabbit și vor găsi solutia corecta. ÎN obligatoriu urmați pașii de mai sus pentru a vă proteja sistemul de operare. Dacă întâmpinați dificultăți în efectuarea acestora, vă rugăm să scrieți în comentarii.

Virusul ransomware Bad Rabbit sau Diskcoder.D. atacă rețelele corporative ale organizațiilor mari și mijlocii, blocând toate rețelele.

Bad Rabbit sau „rău iepure” cu greu poate fi numit un pionier - a fost precedat de virușii de criptare Petya și WannaCry.

Bad Rabbit - ce fel de virus

Experții companiei de antivirus ESET au investigat schema de distribuție a noului virus și au descoperit că Bad Rabbit a pătruns în computerele victimelor sub masca lui. Actualizări Adobe Flash pentru browser.

Compania de antivirus consideră că criptatorul Win32/Diskcoder.D, denumit Bad Rabbit, este o versiune modificată a Win32/Diskcoder.C, mai cunoscut sub numele de Petya/NotPetya, care a lovit sistemele IT ale organizațiilor din mai multe țări în luna iunie. Legătura dintre Bad Rabbit și NotPetya este indicată de potriviri în cod.

Atacul folosește programul Mimikatz, care interceptează datele de conectare și parolele de pe mașina infectată. De asemenea, în cod sunt deja înregistrate login-uri și parole pentru încercările de a obține acces administrativ.

Noul program rău intenționat corectează erorile de criptare a fișierelor - codul folosit în virus este conceput pentru a cripta unitățile logice, unități USB externeși imagini CD/DVD, precum și bootabile partiții de sistem disc. Așadar, experții în decriptare vor trebui să petreacă mult timp pentru a descoperi secretul virusului Bad Rabbit, spun experții.

Noul virus, potrivit experților, funcționează după o schemă standard pentru criptoare - intrând în sistem de nicăieri, codifică fișiere, pentru a căror criptare hackerii cer o răscumpărare în bitcoins.

Deblocarea unui computer va costa 0,05 bitcoin, care este de aproximativ 283 USD la cursul actual. Dacă răscumpărarea este plătită, escrocii vor trimite un cod de cheie special care vă va permite să restaurați munca normala sistem și să nu piardă totul.

Dacă utilizatorul nu transferă fonduri în decurs de 48 de ore, valoarea răscumpărării va crește.

Dar merită să ne amintim că plata unei răscumpări poate fi o capcană care nu garantează că computerul va fi deblocat.

ESET observă că malware-ul este asociat în prezent server la distanță absent.

Virusul a afectat cel mai mult utilizatorii ruși și, într-o măsură mai mică, companiile din Germania, Turcia și Ucraina. Răspândirea s-a produs prin medii infectate. Site-urile infectate cunoscute au fost deja blocate.

ESET consideră că statisticile atacurilor în în mare măsură corespunde distribuției geografice a site-urilor care conțin JavaScript rău intenționat.

Cum să te protejezi

Specialiștii de la Group-IB, care este implicat în prevenirea și investigarea criminalității cibernetice, au oferit recomandări despre cum să te protejezi de virusul Bad Rabbit.

În special, pentru a vă proteja împotriva unui dăunător online, trebuie să creați fișierul C:\windows\infpub.dat pe computer și să setați drepturi de numai citire pentru acesta în secțiunea de administrare.

Această acțiune va bloca execuția fișierului, iar toate documentele care sosesc din exterior nu vor fi criptate chiar dacă sunt infectate. Este necesar să creați o copie de rezervă a tuturor datelor valoroase, astfel încât în ​​caz de infecție să nu o pierdeți.

Specialiștii Group-IB sfătuiesc și blocarea adreselor IP și nume de domenii, de la care a avut loc răspândirea fișiere rău intenționate, setați un blocator de ferestre pop-up pentru utilizatori.

De asemenea, se recomandă izolarea rapidă a computerelor într-un sistem de detectare a intruziunilor. Utilizatorii de computere ar trebui, de asemenea, să verifice relevanța și integritatea copiilor de rezervă ale nodurilor cheie ale rețelei și să actualizeze sisteme de operareși sisteme de securitate.

„În ceea ce privește politica de parole: setări politica de grup dezactivați stocarea parolelor în LSA Dump in formă deschisă. Schimbați toate parolele cu altele complexe”, a adăugat compania.

Predecesorii

Virusul WannaCry s-a răspândit în cel puțin 150 de țări în mai 2017. El a criptat informațiile și a cerut să plătească o răscumpărare, potrivit diverselor surse, de la 300 la 600 de dolari.

Peste 200 de mii de utilizatori au fost afectați de aceasta. Potrivit unei versiuni, creatorii săi au luat drept bază malware US NSA Eternal Blue.

Atacul global Virusul ransomware Petya Pe 27 iunie a lovit sistemele IT ale companiilor din mai multe țări din lume, afectând Ucraina într-o măsură mai mare.

Calculatoare în petrol, energie, telecomunicații, companiile farmaceutice, precum și agențiile guvernamentale. Poliția cibernetică ucraineană a declarat că atacul ransomware a avut loc prin programul M.E.doc.

Materialul a fost pregătit pe baza surselor deschise