Meniu
AcasăMicrosoft

Virusul iepurelui rău. Ransomware-ul Bad Rabbit atacă utilizatorii din Rusia și Ucraina. Cum să te protejezi de Bad Rabbit

Virusul ransomware, cunoscut sub numele de Bad Rabbit, a atacat zeci de mii de computere din Ucraina, Turcia și Germania. Dar majoritatea atacurilor au avut loc în Rusia. Ce fel de virus este acesta și cum să vă protejați computerul, vă spunem în secțiunea noastră de întrebări și răspunsuri.

Cine a suferit de iepure rău în Rusia?

Virusul ransomware Bad Rabbit a început să se răspândească pe 24 octombrie. Printre victimele acțiunilor sale se numără agenția de știri Interfax și publicația Fontanka.ru.

Metroul din Kiev și aeroportul Odesa au suferit și ele de pe urma acțiunilor hackerilor. Apoi a devenit cunoscut despre o încercare de a pirata sistemele mai multor bănci rusești din primele 20.

După toate indicațiile, acesta este un atac direcționat asupra rețelelor corporative, deoarece folosește metode similare cu cele observate în atacul cu virusul ExPetr.

Noul virus cere tuturor: o răscumpărare de 0,05 bitcoin. În ceea ce privește ruble, aceasta este de aproximativ 16 mii de ruble. Cu toate acestea, el raportează că timpul pentru îndeplinirea acestei cerințe este limitat. Se acordă puțin mai mult de 40 de ore pentru orice. În plus, taxa de răscumpărare va crește.

Ce este acest virus și cum funcționează?

Ați aflat deja cine se află în spatele răspândirii sale?

Nu a fost încă posibil să se afle cine se află în spatele acestui atac. Ancheta i-a condus pe programatori doar la numele de domeniu.

Experții de la companiile antivirus notează asemănarea noului virus cu virusul Petya.

Dar, spre deosebire de virușii anteriori din acest an, de data aceasta hackerii au decis să ia calea simplă, relatează 1tv.ru.

„Se pare că infractorii se așteptau ca în majoritatea companiilor utilizatorii să-și actualizeze computerele după aceste două atacuri și au decis să încerce un mijloc destul de ieftin – ingineria socială – pentru a infecta utilizatorii relativ liniștit la început”, a spus șeful departamentului anti- Departamentul de cercetare a virusurilor de la Kaspersky Lab.

Cum să vă protejați computerul de un virus?

Asigurați-vă că faceți o copie de rezervă a sistemului. Dacă utilizați Kaspersky, ESET, Dr.Web sau alți analogi populari pentru protecție, ar trebui să actualizați imediat bazele de date. De asemenea, pentru Kaspersky trebuie să activați „Monitorizarea activității” (System Watcher), iar în ESET trebuie să aplicați semnături cu actualizarea 16295, informează talkdevice.

Dacă nu aveți programe antivirus, blocați execuția fișierelor C:\Windows\infpub.dat și C:\Windows\cscc.dat. Acest lucru se face prin Editorul de politici de grup sau prin programul AppLocker pentru Windows.

Opriți rularea serviciului - Windows Management Instrumentation (WMI). Folosind butonul din dreapta, introduceți proprietățile serviciului și selectați modul „Dezactivat” în „Tipul de pornire”.

Pe 24 octombrie, presa rusă, precum și companiile de transport și agențiile guvernamentale din Ucraina, au fost atacate de ransomware-ul Bad Rabbit. Potrivit unor surse deschise, printre victime se numără metroul din Kiev, aeroportul Odesa, Ministerul Infrastructurii al Ucrainei, redacția Interfax și Fontanka.

Potrivit laboratorului de virus ESET, atacul asupra metroului din Kiev a folosit malware Diskcoder.D, o nouă modificare a criptatorului cunoscut sub numele de Petya.

Specialiștii în securitatea informațiilor de la Group-IB au stabilit că atacul era în pregătire de câteva zile. ESET avertizează că ransomware-ul pătrunde în computer printr-o actualizare falsă a pluginului Adobe Flash. După aceea, infectează computerul și criptează fișierele de pe acesta. Apoi, pe monitor apare un mesaj care spune că computerul este blocat, iar pentru a decripta fișierele trebuie să accesați site-ul web Bad Rabbit - caforssztxqzf2nm.onion prin browser-ul Tor.

Epidemiile de ransomware WannaCry și NotPetya au arătat că este necesar să se actualizeze prompt programele și sistemele instalate, precum și să se facă copii de rezervă, pentru a nu rămâne fără informații importante după un atac de virus.

Cu toate acestea, dacă apare o infecție, experții de la Group-IB nu recomandă plata răscumpărării, deoarece:

  • în felul acesta îi ajuți pe criminali;
  • Nu avem nicio dovadă că datele celor care au plătit au fost restaurate.

Cum să vă protejați computerul de infecția Bad Rabbit?

Pentru a evita să deveniți o victimă a noii epidemii Bad Rabbit, experții Kaspersky Lab recomandă să faceți următoarele:

Pentru utilizatorii soluțiilor antivirus Kaspersky Lab:

  • Verificați dacă componentele Kaspersky Security Network și Activity Monitor (alias System Watcher) sunt activate în soluția dvs. de securitate. Dacă nu, asigurați-vă că îl porniți.

Pentru cei care nu folosesc soluțiile antivirus Kaspersky Lab.

Ieri, 24 octombrie 2017, mass-media rusă, precum și o serie de agenții guvernamentale ucrainene, au fost atacate de atacatori necunoscuți. Printre victime se numără Interfax, Fontanka și cel puțin o altă publicație online fără nume. În urma mass-media, Aeroportul Internațional Odesa, Metroul din Kiev și Ministerul Infrastructurii ucrainean au raportat și ele probleme. Potrivit unui comunicat al analiștilor Group-IB, infractorii au încercat și ei să atace infrastructura bancară, dar aceste încercări au fost fără succes. Specialiștii ESET susțin, la rândul lor, că atacurile au afectat utilizatori din Bulgaria, Turcia și Japonia.

După cum sa dovedit, întreruperile în activitatea companiilor și agențiilor guvernamentale au fost cauzate nu de atacuri masive DDoS, ci de un ransomware numit Bad Rabbit (unii experți preferă să scrie BadRabbit fără spațiu).

Ieri, se știa puțin despre malware și mecanismele de funcționare a acestuia: s-a raportat că ransomware-ul cere o răscumpărare de 0,05 bitcoin, iar experții Group-IB au mai spus că atacul se pregătește de câteva zile. Astfel, pe site-ul atacatorilor au fost descoperite două scripturi JS, iar, judecând după informațiile de pe server, unul dintre ele a fost actualizat pe 19 octombrie 2017.

Acum, deși nu a trecut nici măcar o zi de la începutul atacurilor, analiza ransomware-ului a fost deja efectuată de specialiști din aproape toate companiile de top în securitatea informațiilor din lume. Deci, ce este Bad Rabbit și ar trebui să ne așteptăm la o nouă „epidemie de ransomware” precum WannaCry sau NotPetya?

Cum a reușit Bad Rabbit să provoace întreruperi majore de media cu actualizări false Flash? Conform ESET , EmsisoftŞi Fox-IT, după infectare, malware-ul folosea utilitarul Mimikatz pentru a extrage parolele din LSASS și avea, de asemenea, o listă cu cele mai comune autentificări și parole. Malware-ul a folosit toate acestea pentru a se răspândi prin SMB și WebDAV către alte servere și stații de lucru situate în aceeași rețea cu dispozitivul infectat. Totodată, experții din companiile enumerate mai sus și angajații Cisco Talos consideră că în acest caz nu a fost nevoie de un instrument furat de la serviciile de informații care să exploateze defecte ale IMM-urilor. Permiteți-mi să vă reamintesc că virușii WannaCry și NotPetya au fost răspândiți folosind acest exploit special.

Cu toate acestea, experții au reușit totuși să găsească unele asemănări între Bad Rabbit și Petya (NotPetya). Astfel, ransomware-ul nu numai că criptează fișierele utilizatorului folosind open source DiskCryptor, dar modifică MBR (Master Boot Record), după care repornește computerul și afișează un mesaj de răscumpărare pe ecran.

Deși mesajul cu revendicările atacatorilor este aproape identic cu mesajul de la operatorii NotPetya, experții au păreri ușor diferite cu privire la legătura dintre Bad Rabbit și NotPetya. Astfel, analiștii de la Intezer au calculat că codul sursă al malware-ului

Salutare tuturor! Chiar zilele trecute, un atac pe scară largă a hackerilor a început în Rusia și Ucraina, Turcia, Germania și Bulgaria, folosind noul virus ransomware Bad Rabbit, cunoscut și sub numele de Diskcoder.D. Ransomware-ul atacă în prezent rețelele corporative ale organizațiilor mari și mijlocii, blocând toate rețelele. Astăzi vă vom spune ce este acest troian și cum vă puteți proteja de el.

Ce fel de virus?

Bad Rabbit funcționează după o schemă standard pentru ransomware: odată ce intră în sistem, codifică fișiere, pentru decriptare hackerii cer 0,05 bitcoin, care la cursul de schimb este de 283 USD (sau 15.700 de ruble). Acest lucru este raportat într-o fereastră separată, unde trebuie de fapt să introduceți cheia achiziționată. Amenințarea este un tip de troian Trojan.Win32.Generic, cu toate acestea conține și alte componente, cum ar fi DangerousObject.Multi.GenericŞi Răscumpărare.Câștig 32.Gen.ftl.

Bad Rabbit – un nou virus ransomware

Este încă dificil să urmăriți complet toate sursele de infecție, dar experții lucrează acum la acest lucru. Probabil, amenințarea ajunge la PC prin site-uri infectate pe care este configurată redirecționarea sau sub pretextul unor actualizări false pentru plugin-uri populare precum Adobe Flash. Lista unor astfel de site-uri este doar în extindere.

Este posibil să eliminați un virus și cum să vă protejați?

Merită menționat imediat că în acest moment toate laboratoarele antivirus au început să analizeze acest troian. Dacă căutați în mod special informații despre eliminarea virușilor, atunci nu există niciunul ca atare. Să renunțăm imediat la sfatul standard - faceți o copie de rezervă a sistemului, un punct de întoarcere, ștergeți astfel de fișiere. Dacă nu aveți salvări, atunci orice altceva nu funcționează, din cauza specificațiilor virusului, s-au gândit la astfel de momente.

Cred că în curând vor fi distribuite decriptoare pentru Bad Rabbit făcute de amatori - dacă utilizați sau nu aceste programe este alegerea dvs. După cum a arătat ransomware-ul Petya anterior, acest lucru ajută puțin.

Dar puteți preveni amenințarea și o puteți elimina atunci când încercați să intrați în computer. Laboratoarele Kaspersky și ESET au fost primele care au răspuns la rapoartele unei epidemii virale și blochează deja încercările de penetrare. De asemenea, browserul Google Chrome a început să detecteze resursele infectate și să avertizeze despre pericolul acestora. Iată ce trebuie să faceți pentru a vă proteja mai întâi de BadRabbit:

  1. Dacă utilizați Kaspersky, ESET, Dr.Web sau alți analogi populari pentru protecție, atunci trebuie să actualizați bazele de date. De asemenea, pentru Kaspersky trebuie să activați „Monitor de activitate” (System Watcher), iar în ESET să aplicați semnături cu actualizarea 16295.

  2. Dacă nu utilizați antivirusuri, atunci trebuie să blocați execuția fișierului C:\Windows\infpub.datŞi C:\Windows\cscc.dat. Acest lucru se face prin Editorul de politici de grup sau prin programul AppLocker pentru Windows.

    3. Este recomandabil să dezactivați execuția serviciului - Windows Management Instrumentation (WMI). În top zece serviciul este numit „Instrumentație de management Windows”. Folosind butonul din dreapta, introduceți proprietățile serviciului și selectați „Tipul de pornire” modul „Dezactivat”.

  3. Asigurați-vă că faceți o copie de rezervă a sistemului. În teorie, o copie ar trebui să fie întotdeauna stocată pe suportul media conectat. Iată o scurtă instrucțiune video despre cum să-l creați.

    4. Concluzie

    În concluzie, merită spus cel mai important lucru - nu ar trebui să plătiți răscumpărarea, indiferent de ce ați criptat. Astfel de acțiuni nu fac decât să încurajeze escrocii să creeze noi atacuri de viruși. Monitorizați forumurile companiilor de antivirus, care, sper, vor studia în curând virusul Bad Rabbit și vor găsi o pastilă eficientă. Asigurați-vă că urmați pașii de mai sus pentru a vă proteja sistemul de operare. Dacă aveți dificultăți în a le completa, vă rugăm să scrieți în comentarii.

Bad Rabbit este un virus care aparține virușilor ransomware de criptare. A apărut destul de recent și se adresează în principal computerelor utilizatorilor din Rusia și Ucraina, precum și parțial din Germania și Turcia.

Principiul de funcționare al virușilor ransomware este întotdeauna același: o dată pe computer, programul rău intenționat criptează fișierele de sistem și datele utilizatorului, blocând accesul la computer folosind o parolă. Tot ceea ce este afișat pe ecran este fereastra virusului, cerințele atacatorului și numărul de cont către care acesta cere să transfere bani pentru a-l debloca. După răspândirea masivă a criptomonedelor, a devenit popular să se ceară răscumpărare în bitcoini, deoarece tranzacțiile cu acestea sunt extrem de dificil de urmărit din exterior. Bad Rabbit face la fel. Acesta exploatează vulnerabilitățile sistemului de operare, în special în Adobe Flash Player, și pătrunde sub pretextul unei actualizări pentru acesta.

După infectare, BadRabbit creează un fișier infpub.dat în folderul Windows, care creează fișierele de program rămase: cscc.dat și dispci.exe, care își modifică setările MBR ale discului utilizatorului și își creează sarcini similare cu Sarcina Programator. Acest program rău intenționat are propriul site web personal pentru plata răscumpărării, folosește serviciul de criptare DiskCryptor, criptează folosind metodele RSA-2048 și AE și, de asemenea, monitorizează toate dispozitivele conectate la acest computer, încercând să le infecteze și pe acestea.

Conform evaluării Symantec, virusul a primit statutul de amenințare scăzută și, potrivit experților, a fost creat de aceiași dezvoltatori ca și virușii descoperiți cu câteva luni înainte de Bad Rabbit, NotPetya și Petya, deoarece are algoritmi de operare similari. Ransomware-ul Bad Rabbit a apărut pentru prima dată în octombrie 2017, iar primele sale victime au fost ziarul online Fontanka, o serie de instituții media și site-ul web al agenției de știri Interfax. Compania Beeline a fost și ea supusă unui atac, dar amenințarea a fost evitată în timp.

Notă: Din fericire, programele de detectare a acestor tipuri de amenințări sunt acum mai eficiente decât înainte, iar riscul de a contracta acest virus a scăzut.

Eliminarea virusului Bad Rabbit

Recuperare bootloader

Ca în majoritatea cazurilor de acest tip, puteți încerca să restabiliți bootloader-ul Windows pentru a elimina amenințarea. În cazul Windows 10 și Windows 8, pentru a face acest lucru, trebuie să conectați distribuția de instalare a sistemului la USB sau DVD, iar după pornirea de pe acesta, mergeți la opțiunea „Remediați computerul”. După aceea, trebuie să mergeți la „Depanare” și să selectați „Prompt de comandă”.

Acum nu mai rămâne decât să introduceți comenzile una câte una, apăsând Enter de fiecare dată după introducerea următoarei comenzi:

  1. bootrec /FixMbr
  2. bootrec /FixBoot
  3. bootrec /ScanOs
  4. bootrec /RebuildBcd

După ce operațiunile au fost finalizate, ieșiți și reporniți. Cel mai adesea, acest lucru este suficient pentru a rezolva problema.
Pentru Windows 7, pașii sunt aceiași, doar că acolo „Command Prompt” se află în „System Recovery Options” din distribuția de instalare.

Eliminarea unui virus utilizând modul Safe

Pentru a utiliza această metodă, trebuie să fiți în Safe Mode with Networking. Este cu suport de rețea și nu simplu Safe Mode. În Windows 10, acest lucru se poate face din nou prin distribuția de instalare. După pornirea de pe acesta, în fereastra cu butonul „Instalare”, trebuie să apăsați combinația de taste Shift+F10 și să introduceți în câmp:

bcdedit /set (implicit) rețea safeboot

În Windows 7, puteți pur și simplu să apăsați F8 de mai multe ori în timp ce porniți computerul și să selectați acest mod de pornire din lista din meniul care apare.
După intrarea în modul Safe, scopul principal este scanarea sistemului de operare pentru amenințări. Este mai bine să faceți acest lucru prin utilități testate în timp, cum ar fi Reimage sau Malwarebytes Anti-Malware.

Eliminați amenințarea folosind Centrul de recuperare

Pentru a utiliza această metodă, trebuie să utilizați din nou „Linia de comandă”, ca în instrucțiunile de mai sus, iar după lansare, introduceți cd restore și confirmați apăsând Enter. După aceasta, trebuie să introduceți rstrui.exe. Se va deschide o fereastră de program în care vă puteți întoarce la punctul de restaurare anterior care a precedat infecția.