Virus thỏ ransomware mới. Ransomware Bad Rabbit hoạt động như thế nào và có mối liên hệ nào với NotPetya không? Cách bảo vệ bản thân khỏi Bad Rabbit

Cập nhật ngày 27/10/2017. Đánh giá khả năng giải mã. Khả năng phục hồi tập tin. Phán quyết.

Chuyện gì đã xảy ra thế?

Vào thứ Ba, ngày 24 tháng 10, chúng tôi đã nhận được thông báo về các cuộc tấn công lớn sử dụng phần mềm tống tiền Bad Rabbit. Các tổ chức và người dùng cá nhân bị ảnh hưởng - chủ yếu ở Nga, nhưng cũng có báo cáo về nạn nhân từ Ukraine. Đây là tin nhắn mà nạn nhân nhìn thấy:

Thỏ Xấu là gì?

Bad Rabbit thuộc một họ ransomware chưa từng được biết đến trước đây.

Nó được phân phối như thế nào?

Phần mềm độc hại lây lan bằng cách sử dụng cuộc tấn công từng ổ: nạn nhân truy cập một trang web hợp pháp và . Bọn tội phạm đã không sử dụng , vì vậy để bị lây nhiễm, người dùng phải chạy thủ công một tệp được ngụy trang dưới dạng trình cài đặt Adobe Flash. Tuy nhiên, phân tích của chúng tôi xác nhận rằng Bad Rabbit đã sử dụng công cụ khai thác EternalRomance để lây lan trong mạng công ty. Cách khai thác tương tự đã được sử dụng bởi ransomware ExPetr.

Chúng tôi đã phát hiện ra một số tài nguyên bị tấn công - tất cả đều là các cổng thông tin và trang truyền thông.

Cuộc tấn công nhằm vào ai?

Hầu hết nạn nhân đều ở Nga. Các cuộc tấn công tương tự nhưng ít quy mô hơn đã ảnh hưởng đến các quốc gia khác - Ukraine, Thổ Nhĩ Kỳ và Đức. Tổng số mục tiêu, theo thống kê của KSN lên tới 200.

Kaspersky Lab phát hiện ra mối đe dọa khi nào?

Chúng tôi đã có thể lần theo dấu vết ban đầu của cuộc tấn công ngay từ đầu, vào sáng ngày 24 tháng 10. Giai đoạn tích cực kéo dài đến trưa, mặc dù các cuộc tấn công riêng lẻ được ghi nhận cho đến 19h55 theo giờ Moscow. Máy chủ nơi phân phối Bad rabbit dropper đã ngừng hoạt động vào tối hôm đó.

Bad Rabbit khác với ransomware ExPetr như thế nào? Hay đó là cùng một phần mềm độc hại?

Theo quan sát của chúng tôi, bây giờ chúng ta đang nói về một cuộc tấn công có chủ đích vào mạng công ty, các phương pháp của nó tương tự như các phương pháp được sử dụng trong thời gian đó. Hơn nữa, phân tích mã Bad Rabbit đã chứng minh sự tương đồng rõ rệt của nó với mã ExPetr.

Chi tiết kỹ thuật

Theo dữ liệu của chúng tôi, ransomware sẽ lây lan thông qua cuộc tấn công từng ổ. Trình nhỏ giọt ransomware được tải xuống từ hxxp://1dnscontrol[.]com/flash_install.php.

Nạn nhân được chuyển hướng đến tài nguyên độc hại này từ các trang tin tức hợp pháp.

Nạn nhân phải chạy thủ công tệp install_flash_player.exe đã tải xuống. Để hoạt động bình thường, tệp yêu cầu quyền quản trị viên mà nó yêu cầu thông qua thông báo UAC tiêu chuẩn. Khi khởi chạy, phần mềm độc hại sẽ lưu DLL độc hại dưới dạng C:Windowsinfpub.dat và chạy nó qua rundll32.

Mã giả của thủ tục cài đặt DLL độc hại

Rõ ràng, thư viện infpub.dat ép buộc thông tin xác thực NTLM đối với các máy Windows có địa chỉ IP giả ngẫu nhiên.

Danh sách thông tin xác thực được mã hóa cứng

Thư viện infpub.dat còn cài file thực thi độc hại dispci.exe V. C:Cửa sổ và tạo một tác vụ để chạy nó.

Mã giả của thủ tục tạo tác vụ khởi chạy tệp thực thi độc hại

Hơn nữa, infpub.dat hoạt động giống như một ransomware điển hình: nó tìm thấy dữ liệu của nạn nhân bằng cách sử dụng danh sách tiện ích mở rộng tích hợp sẵn và mã hóa các tệp bằng khóa RSA 2048-bit công khai do kẻ tấn công sở hữu.

Khóa công khai và danh sách tiện ích mở rộng của kẻ tấn công

Các tham số khóa công khai:

Khóa công khai: (2048 bit)
Mô-đun:
00:e5:c9:43:b9:51:6b:e6:c4:31:67:e7:de:42:55:
6f:65:c1:0a:d2:4e:2e:09:21:79:4a:43:a4:17:d0:
37:b5:1e:8e:ff:10:2d:f3:df:cf:56:1a:30:be:ed:
93:7c:14:d1:b2:70:6c:f3:78:5c:14:7f:21:8c:6d:
95:e4:5e:43:c5:71:68:4b:1a:53:a9:5b:11:e2:53:
a6:e4:a0:76:4b:c6:a9:e1:38:a7:1b:f1:8d:fd:25:
4d:04:5c:25:96:94:61:57:fb:d1:58:d9:8a:80:a2:
1d:44:eb:e4:1f:1c:80:2e:e2:72:52:e0:99:94:8a:
1a:27:9b:41:d1:89:00:4c:41:c4:c9:1b:0b:72:7b:
59:62:c7:70:1f:53:fe:36:65:e2:36:0d:8c:1f:99:
59:f5:b1:0e:93:b6:13:31:fc:15:28:da:ad:1d:a5:
f4:2c:93:b2:02:4c:78:35:1d:03:3c:e1:4b:0d:03:
8d:5b:d3:8e:85:94:a4:47:1d:d5:ec:f0:b7:43:6f:
47:1e:1c:a2:29:50:8f:26:c3:96:d6:5d:66:36:dc:
0b:ec:a5:fe:ee:47:cd:7b:40:9e:7c:1c:84:59:f4:
81:b7:5b:5b:92:f8:dd:78:fd:b1:06:73:e3:6f:71:
84:d4:60:3f:a0:67:06:8e:b5:dc:eb:05:7c:58:ab:
1f:61
Số mũ: 65537 (0x10001)

style="font-family: Consolas,Monaco,monospace;">

Tệp thực thi dispci.exe dường như dựa trên mã từ tiện ích DiskCryptor hợp pháp. Nó hoạt động như một mô-đun mã hóa ổ đĩa và cài đặt song song bộ tải khởi động đã sửa đổi, chặn quá trình khởi động bình thường của hệ thống bị nhiễm.

Trong khi phân tích các mẫu của mối đe dọa này, chúng tôi nhận thấy một chi tiết thú vị: rõ ràng, tác giả của phần mềm độc hại là những người hâm mộ “Game of Thrones”. Một số dòng trong mã đại diện cho tên của các nhân vật trong vũ trụ này.

Tên của những con rồng trong Game of Thrones

Tên các nhân vật trong Game of Thrones

Sơ đồ mã hóa

Như chúng tôi đã đề cập, ransomware Bad Rabbit mã hóa các tập tin và ổ cứng của nạn nhân. Các thuật toán sau được sử dụng cho các tập tin:

1. AES-128-CBC
2. RSA-2048

Đây là một kế hoạch điển hình được sử dụng bởi ransomware.

Điều thú vị là ransomware liệt kê tất cả các quy trình đang chạy và so sánh hàm băm thay mặt cho từng quy trình với danh sách các hàm băm mà nó có. Thuật toán băm được sử dụng tương tự như thuật toán được phần mềm độc hại exPetr sử dụng.

So sánh quy trình băm Bad Rabbit và ExPetr

Nhánh đặc biệt của việc thực hiện chương trình

Quy trình khởi tạo cờ thời gian chạy

Danh sách đầy đủ các giá trị băm từ tên quy trình:

Các phân vùng trên ổ cứng của nạn nhân được mã hóa bằng trình điều khiển dcrypt.sys của DiskCryptor (nó được tải vào C:Windowscscc.dat). Bộ mã hóa gửi mã IOCTL cần thiết tới trình điều khiển này. Một số chức năng được lấy “nguyên trạng” từ mã nguồn DiskCryptor (drv_ioctl.c), trong khi những chức năng khác dường như đã được các nhà phát triển phần mềm độc hại thêm vào.

Các phân vùng đĩa được mã hóa bởi trình điều khiển DiskCryptor bằng AES ở chế độ XTS. Mật khẩu được tạo bởi dispci.exe bằng hàm WinAPI CryptGenRandom và dài 32 ký tự.

Đánh giá khả năng giải mã

Dữ liệu của chúng tôi cho thấy rằng Bad rabbit, không giống như ExPetr, không được tạo ra dưới dạng viper (trước đó chúng tôi đã viết rằng những người tạo ra ExPetr về mặt kỹ thuật không thể giải mã MFT được mã hóa bằng GoldenEye). Thuật toán của phần mềm độc hại cho rằng những kẻ tấn công đằng sau Bad rabbit có các công cụ giải mã cần thiết.

Dữ liệu xuất hiện trên màn hình của máy bị nhiễm dưới dạng "khóa cài đặt cá nhân số 1" là cấu trúc nhị phân được mã hóa RSA-2048 và mã hóa base64 chứa thông tin sau từ hệ thống bị nhiễm:

Những kẻ tấn công có thể sử dụng khóa riêng RSA của chúng để giải mã cấu trúc này và gửi mật khẩu giải mã ổ đĩa cho nạn nhân.

Xin lưu ý rằng giá trị của trường id được chuyển tới dispci.exe chỉ đơn giản là một số 32 bit được sử dụng để phân biệt giữa các máy tính bị nhiễm chứ không phải khóa AES để mã hóa ổ đĩa, như một số báo cáo được công bố trên Internet đã nói.

Trong quá trình phân tích, chúng tôi đã trích xuất mật khẩu do phần mềm độc hại tạo ra trong quá trình gỡ lỗi và cố gắng sử dụng mật khẩu đó trên một hệ thống bị khóa sau khi khởi động lại - mật khẩu đã trùng khớp và quá trình tải xuống vẫn tiếp tục.

Thật không may, không thể giải mã dữ liệu trên đĩa nếu không có khóa RSA-2048 của kẻ tấn công: khóa đối xứng được tạo an toàn từ phía độc hại, điều này trên thực tế sẽ loại bỏ khả năng lựa chọn của chúng.

Tuy nhiên, chúng tôi đã phát hiện ra một lỗi trong mã dispci.exe: mật khẩu đã tạo không bị xóa khỏi bộ nhớ, điều này có rất ít cơ hội lấy lại mật khẩu trước khi quá trình dispci.exe kết thúc. Trong ảnh chụp màn hình bên dưới, bạn sẽ nhận thấy rằng mặc dù biến dc_pass (sẽ được chuyển cho trình điều khiển) sẽ bị xóa một cách an toàn sau khi sử dụng, nhưng trường hợp này không xảy ra với biến rand_str, biến chứa bản sao mật khẩu.

Mã giả cho quy trình tạo mật khẩu và mã hóa phân vùng đĩa

Mã hóa tập tin

Như chúng tôi đã viết, Trojan sử dụng sơ đồ mã hóa tệp điển hình. Nó tạo ra một chuỗi ngẫu nhiên có độ dài 32 byte và sử dụng nó trong thuật toán dẫn xuất khóa. Thật không may, hàm CryptGenRandom được sử dụng để tạo chuỗi này.

Thuật toán dẫn xuất khóa

Mật khẩu được mã hóa, cùng với thông tin về hệ thống bị nhiễm, được ghi vào tệp Readme dưới dạng “khóa cài đặt cá nhân số 2”.

Sự thật thú vị: phần mềm độc hại không mã hóa các tệp có thuộc tính Chỉ đọc.

Khả năng phục hồi tập tin

Chúng tôi nhận thấy rằng Bad Rabbit không xóa bản sao bóng của tệp sau khi chúng được mã hóa. Điều này có nghĩa là nếu dịch vụ sao chép bóng được kích hoạt trước khi lây nhiễm và vì lý do nào đó quá trình mã hóa toàn bộ ổ đĩa không xảy ra, nạn nhân có thể khôi phục các tệp được mã hóa bằng các công cụ Windows tiêu chuẩn hoặc tiện ích của bên thứ ba.

Bản sao bóng không bị ảnh hưởng bởi Bad Rabbit

Các chuyên gia của Kaspersky Lab phân tích chi tiết phần mềm ransomware để tìm ra các lỗ hổng có thể xảy ra trong các thuật toán mã hóa của nó.

Khách hàng doanh nghiệp của Kaspersky Lab nên:

• kiểm tra xem tất cả các cơ chế đã được bật theo khuyến nghị chưa; Riêng biệt, hãy đảm bảo rằng các thành phần KSN và “Giám sát hệ thống” không bị tắt (chúng hoạt động theo mặc định);
• cập nhật kịp thời cơ sở dữ liệu diệt virus.

Điều này là đủ. Nhưng như một biện pháp phòng ngừa bổ sung, chúng tôi khuyên bạn nên:

• cấm thực thi các tệp C:Windowsinfpub.dat và C:Windowscscc.dat trong Kaspersky Endpoint Security.
• cấu hình và kích hoạt chế độ "Từ chối mặc định" trong thành phần "Kiểm soát khởi chạy ứng dụng" trong Kaspersky Endpoint Security.

Các sản phẩm của Kaspersky Lab xác định mối đe dọa này là:

• Trojan-Ransom.Win32.Gen.ftl
• Trojan-Ransom.Win32.BadRabbit
• DangerousObject.Multi.Generic
• PDM:Trojan.Win32.Generic
• Xâm nhập.Win.CVE-2017-0147.sa.leak

http://1dnscontrol[.]com/
- install_flash_player.exe
- C:Windowsinfpub.dat
- C:Windowsdispci.exe

style="font-family: Consolas,Monaco,monospace;">

Group-IB, cơ quan điều tra và ngăn chặn tội phạm mạng, nói với Forbes rằng virus ransomware Bad Rabbit, bị truyền thông Nga tấn công một ngày trước đó, cũng đã cố gắng tấn công các ngân hàng Nga từ top 20. Đại diện công ty từ chối làm rõ chi tiết về các cuộc tấn công vào các tổ chức tín dụng, giải thích rằng Group-IB không tiết lộ thông tin về khách hàng sử dụng hệ thống phát hiện xâm nhập của mình.

Theo các chuyên gia an ninh mạng, các nỗ lực lây nhiễm virus vào cơ sở hạ tầng của các ngân hàng Nga xảy ra vào ngày 24 tháng 10 từ 13:00 đến 15:00 giờ Moscow. Group-IB tin rằng các cuộc tấn công mạng chứng tỏ khả năng bảo vệ ngân hàng tốt hơn so với các công ty trong khu vực phi ngân hàng. Trước đó, công ty đã đưa tin rằng một loại virus ransomware mới, có khả năng liên quan đến đợt bùng phát ransomware NotPetya vào tháng 6 (điều này được biểu thị bằng sự trùng hợp ngẫu nhiên trong mã), đã tấn công các phương tiện truyền thông Nga. Chúng ta đang nói về hệ thống thông tin của cơ quan Interfax, cũng như các máy chủ của cổng thông tin Fontanka ở St. Petersburg. Ngoài ra, virus còn tấn công các hệ thống của tàu điện ngầm Kyiv, Bộ Cơ sở hạ tầng Ukraine và Sân bay Quốc tế Odessa. NotPetya tấn công các công ty năng lượng, viễn thông và tài chính chủ yếu ở Ukraine trong mùa hè. Để giải mã các tập tin bị nhiễm virus BadRabbit, kẻ tấn công yêu cầu 0,05 bitcoin, theo tỷ giá hối đoái hiện tại xấp xỉ tương đương 283 USD hoặc 15.700 rúp.

Kaspersky Lab làm rõ rằng lần này tin tặc đã chọn hầu hết các nạn nhân ở Nga. Tuy nhiên, công ty đã ghi nhận các cuộc tấn công tương tự ở Ukraine, Thổ Nhĩ Kỳ và Đức, nhưng “với số lượng nhỏ hơn đáng kể”. “Tất cả các dấu hiệu đều cho thấy đây là một cuộc tấn công có chủ đích vào mạng doanh nghiệp. Các phương pháp tương tự như những phương pháp chúng tôi quan sát thấy trong cuộc tấn công ExPetr đã được sử dụng, nhưng chúng tôi không thể xác nhận mối liên hệ với ExPetr”, đại diện công ty cho biết. Nguồn của Forbes cho biết thêm rằng tất cả các sản phẩm của Kaspersky Lab đều “phát hiện các tệp độc hại này dưới dạng UDS:DangeousObject.Multi.Generic”.

Làm thế nào để bảo vệ chính mình?

Để bảo vệ khỏi cuộc tấn công này, Kaspersky Lab khuyến nghị sử dụng phần mềm chống vi-rút có bật KSN và mô-đun Giám sát hệ thống. “Nếu giải pháp bảo mật của Kaspersky Lab chưa được cài đặt, chúng tôi khuyên bạn nên chặn việc thực thi các tệp có tên c:\windows\infpub.dat và C:\Windows\cscc.dat bằng các công cụ quản trị hệ thống”, người đứng đầu bộ phận chống vi-rút khuyên bộ phận nghiên cứu tại Phòng thí nghiệm Kaspersky" Vyacheslav Zakorzhevsky.

Group-IB lưu ý rằng để ngăn vi-rút mã hóa tệp, “bạn phải tạo tệp C:\windows\infpub.dat và cấp cho nó quyền chỉ đọc”. Sau đó, ngay cả khi bị nhiễm, các tập tin sẽ không được mã hóa, công ty cho biết. Đồng thời, cần nhanh chóng cách ly các máy tính bị phát hiện gửi file độc ​​hại đó để tránh lây nhiễm trên diện rộng sang các máy tính khác có kết nối mạng. Sau đó, người dùng cần đảm bảo rằng các bản sao lưu của các nút mạng chính được cập nhật và nguyên vẹn.

Khi các bước ban đầu hoàn tất, người dùng nên cập nhật hệ điều hành và hệ thống bảo mật, đồng thời chặn các địa chỉ IP và tên miền mà các tệp độc hại được phân phối. Group-IB khuyến nghị thay đổi tất cả mật khẩu thành mật khẩu phức tạp hơn và chặn các cửa sổ bật lên, cũng như cấm lưu trữ mật khẩu ở dạng văn bản rõ ràng trong LSA Dump.

Ai đứng sau vụ tấn công BadRabbit

Năm 2017, hai đại dịch ransomware lớn đã được ghi nhận là WannaCry (tấn công 200.000 máy tính ở 150 quốc gia) và ExPetr. Cái sau là Petya và đồng thời là NotPetya, Kaspersky Lab lưu ý. Bây giờ, theo công ty, “giai đoạn thứ ba đang bắt đầu”. Công ty giải thích rõ tên của loại virus ransomware Bad Rabbit mới “được viết trên một trang trên darknet mà những người tạo ra nó gửi đến để làm rõ các chi tiết”. Group-IB tin rằng Bad Rabbit là phiên bản sửa đổi của NotPetya với các lỗi trong thuật toán mã hóa đã được sửa. Đặc biệt, mã Bad Rabbit bao gồm các khối giống hoàn toàn với NotPetya.

ESET Nga đồng ý rằng phần mềm độc hại được sử dụng trong cuộc tấn công, “Win32/Diskcoding.D,” là phiên bản sửa đổi của “Win32/Diskcode.C,” hay được biết đến nhiều hơn với tên Petya/NotPetya. Như Vitaly Zemskikh, người đứng đầu bộ phận hỗ trợ bán hàng tại ESET Nga, đã giải thích trong cuộc trò chuyện với Forbes, số liệu thống kê về các cuộc tấn công theo quốc gia “phần lớn tương ứng với sự phân bổ địa lý của các trang web có chứa JavaScript độc hại”. Như vậy, phần lớn các ca nhiễm xảy ra ở Nga (65%), tiếp theo là Ukraine (12,2%), Bulgaria (10,2%), Thổ Nhĩ Kỳ (6,4%) và Nhật Bản (3,8%).

Nhiễm virus Bad Rabbit xảy ra sau khi truy cập các trang web bị tấn công. Tin tặc đã tải các tài nguyên bị xâm phạm bằng cách chèn JavaScript vào mã HTML, khiến khách truy cập thấy một cửa sổ giả mạo nhắc họ cài đặt bản cập nhật trình phát Adobe Flash. Nếu người dùng đồng ý cập nhật, một tệp độc hại có tên “install_flash_player.exe” đã được cài đặt trên máy tính. “Sau khi lây nhiễm vào một máy trạm trong một tổ chức, bộ mã hóa có thể lây lan trong mạng công ty thông qua giao thức SMB. Không giống như người tiền nhiệm Petya/NotPetya, Bad Rabbit không sử dụng công cụ khai thác EthernalBlue - thay vào đó, nó quét mạng để tìm các tài nguyên mạng mở,” Zemskikh nói. Tiếp theo, công cụ Mimikatz được khởi chạy trên máy bị nhiễm để thu thập thông tin xác thực. Ngoài ra, còn có một danh sách thông tin đăng nhập và mật khẩu được mã hóa cứng.

Hiện chưa có thông tin về người tổ chức các cuộc tấn công của hacker. Đồng thời, theo Group-IB, các cuộc tấn công hàng loạt tương tự WannaCry và NotPetya có thể liên quan đến các nhóm hacker được nhà nước tài trợ. Các chuyên gia rút ra kết luận này trên cơ sở lợi ích tài chính của các cuộc tấn công như vậy là “không đáng kể” so với mức độ phức tạp trong việc thực hiện chúng. Các chuyên gia kết luận: “Rất có thể, đây không phải là nỗ lực kiếm tiền mà là để kiểm tra mức độ bảo vệ mạng lưới cơ sở hạ tầng quan trọng của các doanh nghiệp, cơ quan chính phủ và công ty tư nhân”. Đại diện của Group-IB xác nhận với Forbes rằng loại virus mới nhất - Bad Rabbit - có thể là một thử nghiệm về khả năng bảo vệ cơ sở hạ tầng của các cơ quan chính phủ và doanh nghiệp. “Đúng, nó không bị loại trừ. Xét thấy rằng các cuộc tấn công được thực hiện theo cách có mục tiêu - nhằm vào các cơ sở hạ tầng quan trọng - sân bay, tàu điện ngầm, các cơ quan chính phủ,” người đối thoại của Forbes giải thích.

Trả lời câu hỏi về những người chịu trách nhiệm cho cuộc tấn công mới nhất, ESET Russia nhấn mạnh rằng chỉ sử dụng các công cụ của một công ty chống vi-rút, không thể tiến hành điều tra chất lượng cao và xác định những người liên quan; đây là nhiệm vụ của các chuyên gia thuộc một hồ sơ khác. “Là một công ty chống vi-rút, chúng tôi xác định các phương pháp và mục tiêu tấn công, các công cụ độc hại của kẻ tấn công, các lỗ hổng và cách khai thác. Việc tìm ra thủ phạm, động cơ, quốc tịch... không phải trách nhiệm của chúng tôi”, đại diện công ty cho biết, đồng thời hứa sẽ đưa ra kết luận về việc bổ nhiệm Bad Rabbit dựa trên kết quả điều tra. “Thật không may, trong tương lai gần chúng ta sẽ chứng kiến ​​nhiều vụ việc tương tự - phương hướng và kịch bản của cuộc tấn công này đã cho thấy hiệu quả cao”, ESET Russia dự đoán. Người đối thoại của Forbes nhớ lại rằng trong năm 2017, công ty đã dự đoán số vụ tấn công có chủ đích vào khu vực doanh nghiệp, chủ yếu nhằm vào các tổ chức tài chính sẽ gia tăng (hơn 50%, theo ước tính sơ bộ). Ông thừa nhận: “Những dự đoán này hiện đang trở thành sự thật, chúng tôi đang chứng kiến ​​​​sự gia tăng số lượng các cuộc tấn công cùng với sự gia tăng thiệt hại cho các công ty bị ảnh hưởng”.

Cuối tháng 10 năm nay được đánh dấu bằng sự xuất hiện của một loại virus mới tấn công tích cực vào máy tính của người dùng doanh nghiệp và gia đình. Loại virus mới này là một loại virus mã hóa và được gọi là Bad Rabbit, có nghĩa là con thỏ xấu tính. Loại virus này đã được sử dụng để tấn công các trang web của một số cơ quan truyền thông Nga. Sau đó, loại virus này được phát hiện trong mạng thông tin của các doanh nghiệp Ukraine. Ở đó, mạng lưới thông tin của tàu điện ngầm, các bộ ngành, sân bay quốc tế, v.v. đã bị tấn công. Một lát sau, một cuộc tấn công virus tương tự đã được quan sát thấy ở Đức và Thổ Nhĩ Kỳ, mặc dù hoạt động của nó thấp hơn đáng kể so với ở Ukraine và Nga.

Virus độc hại là một plugin đặc biệt, khi xâm nhập vào máy tính sẽ mã hóa các tập tin của nó. Sau khi thông tin được mã hóa, kẻ tấn công cố gắng lấy phần thưởng từ người dùng vì đã giải mã dữ liệu của họ.

Sự lây lan của virus

Các chuyên gia từ phòng thí nghiệm chương trình chống vi-rút ESET đã phân tích thuật toán về đường lây lan của vi-rút và đưa ra kết luận rằng đó là một loại vi-rút đã được sửa đổi và lây lan cách đây không lâu, giống như vi-rút Petya.

Các chuyên gia trong phòng thí nghiệm của ESET xác định rằng các plugin độc hại được phân phối từ tài nguyên 1dnscontrol.com và địa chỉ IP IP5.61.37.209. Một số tài nguyên khác cũng được liên kết với miền và IP này, bao gồm safe-check.host, webcheck01.net, safeinbox.email, webdefense1.net, safe-dns1.net, firewebmail.com.

Các chuyên gia đã điều tra rằng chủ sở hữu của các trang web này đã đăng ký nhiều tài nguyên khác nhau, chẳng hạn như những tài nguyên mà họ đang cố gắng bán thuốc giả bằng cách gửi thư rác. Các chuyên gia ESET không loại trừ rằng chính với sự trợ giúp của các tài nguyên này, bằng cách sử dụng thư rác và lừa đảo, cuộc tấn công mạng chính đã được thực hiện.

Quá trình lây nhiễm virus Bad Rabbit diễn ra như thế nào?

Các chuyên gia từ Phòng thí nghiệm Pháp y Máy tính đã tiến hành một cuộc điều tra về cách thức virus xâm nhập vào máy tính của người dùng. Người ta phát hiện ra rằng trong hầu hết các trường hợp, virus ransomware Bad Rabbit được phát tán dưới dạng bản cập nhật cho Adobe Flash. Nghĩa là, vi-rút không khai thác bất kỳ lỗ hổng nào của hệ điều hành mà được chính người dùng cài đặt, những người này đã vô tình chấp thuận cài đặt của nó vì nghĩ rằng họ đang cập nhật plugin Adobe Flash. Khi vi-rút xâm nhập vào mạng cục bộ, nó đánh cắp thông tin đăng nhập và mật khẩu từ bộ nhớ và lây lan độc lập sang các hệ thống máy tính khác.

Cách hacker tống tiền

Sau khi virus ransomware được cài đặt trên máy tính, nó sẽ mã hóa thông tin được lưu trữ. Tiếp theo, người dùng nhận được thông báo cho biết rằng để có quyền truy cập vào dữ liệu của mình, họ phải thanh toán trên một trang web cụ thể trên darknet. Để làm điều này, trước tiên bạn cần cài đặt trình duyệt Tor đặc biệt. Để mở khóa máy tính, những kẻ tấn công tống tiền số tiền 0,05 bitcoin. Ngày nay, với giá 5.600 USD mỗi Bitcoin, tương đương khoảng 280 USD để mở khóa một máy tính. Người dùng có khoảng thời gian 48 giờ để thực hiện thanh toán. Sau khoảng thời gian này, nếu số tiền yêu cầu chưa được chuyển vào tài khoản điện tử của kẻ tấn công thì số tiền sẽ tăng lên.

Cách bảo vệ bản thân khỏi virus

1. Để bảo vệ bản thân khỏi bị lây nhiễm virus Bad Rabbit, bạn nên chặn quyền truy cập từ môi trường thông tin vào các miền trên.
2. Đối với người dùng gia đình, bạn cần cập nhật phiên bản Windows hiện tại và chương trình chống vi-rút của mình. Trong trường hợp này, tệp độc hại sẽ bị phát hiện là vi-rút ransomware, điều này sẽ loại trừ khả năng cài đặt tệp này trên máy tính.
3. Những người dùng sử dụng phần mềm chống vi-rút tích hợp sẵn của hệ điều hành Windows đã được bảo vệ chống lại các phần mềm ransomware này. Nó được triển khai trong ứng dụng Windows Defender Antivirus.
4. Các nhà phát triển chương trình chống vi-rút của Kaspersky Lab khuyên tất cả người dùng nên sao lưu định kỳ dữ liệu của họ. Ngoài ra, các chuyên gia khuyên bạn nên chặn việc thực thi các tệp c:\windows\infpub.dat, c:\WINDOWS\cscc.dat, và nếu có thể, nên cấm sử dụng dịch vụ WMI.

Phần kết luận

Mỗi người dùng máy tính nên nhớ rằng an ninh mạng phải được đặt lên hàng đầu khi làm việc trên mạng. Do đó, bạn phải luôn đảm bảo rằng bạn chỉ sử dụng các nguồn thông tin đáng tin cậy và sử dụng email cũng như mạng xã hội một cách cẩn thận. Chính nhờ những tài nguyên này mà nhiều loại virus khác nhau thường lây lan nhất. Những quy tắc ứng xử cơ bản trong môi trường thông tin sẽ giúp loại bỏ các vấn đề phát sinh khi bị virus tấn công.

Xin chào các vị khách thân mến và khách của blog này! Hôm nay, một loại virus ransomware khác đã xuất hiện trên thế giới có tên: “ Thỏ Xấu» — « Con thỏ độc ác". Đây là ransomware cao cấp thứ ba trong năm 2017. Những cái trước đó là và (hay còn gọi là NotPetya).

Thỏ Xấu - Ai đã từng khốn khổ và đang đòi rất nhiều tiền?

Cho đến nay, một số cơ quan truyền thông Nga được cho là đã bị nhiễm ransomware này - trong số đó có Interfax và Fontanka. Sân bay Odessa cũng báo cáo về một cuộc tấn công của hacker - có thể liên quan đến Bad Rabbit tương tự.

Để giải mã tập tin, những kẻ tấn công yêu cầu 0,05 bitcoin, theo tỷ giá hối đoái hiện tại xấp xỉ tương đương 283 đô la hoặc 15.700 rúp.

Kết quả nghiên cứu của Kaspersky Lab chỉ ra rằng cuộc tấn công không sử dụng cách khai thác. Bad Rabbit lây lan qua các trang web bị nhiễm: người dùng tải xuống trình cài đặt Adobe Flash giả mạo, chạy thủ công và do đó lây nhiễm vào máy tính của họ.

Theo Kaspersky Lab, các chuyên gia đang điều tra cuộc tấn công này và tìm cách chống lại nó, cũng như tìm kiếm khả năng giải mã các tập tin bị ảnh hưởng bởi ransomware.

Hầu hết nạn nhân của vụ tấn công đều ở Nga. Người ta cũng biết rằng các cuộc tấn công tương tự cũng xảy ra ở Ukraine, Thổ Nhĩ Kỳ và Đức, nhưng với số lượng nhỏ hơn nhiều. Nhà mật mã học Thỏ Xấuđang lan truyền qua một số trang truyền thông bị nhiễm bệnh của Nga.

Kapersky Lab tin rằng tất cả các dấu hiệu đều cho thấy đây là một cuộc tấn công có chủ đích vào mạng công ty. Các phương pháp tương tự như những phương pháp chúng tôi quan sát thấy trong cuộc tấn công ExPetr đã được sử dụng nhưng chúng tôi không thể xác nhận kết nối với ExPetr.

Được biết, các sản phẩm của Kaspersky Lab đã phát hiện một trong các thành phần phần mềm độc hại sử dụng dịch vụ đám mây Kaspersky Security Network dưới dạng UDS:DangeousObject.Multi.Generic và cũng sử dụng System Watcher dưới dạng PDM:Trojan.Win32.Generic.

Làm thế nào để bảo vệ bạn khỏi virus Bad Rabbit?

Để tránh trở thành nạn nhân của dịch bệnh “Bad Bunny” mới, “ Phòng thí nghiệm Kaspersky"Chúng tôi khuyên bạn nên làm như sau:

Nếu bạn đã cài đặt Kaspersky Anti-Virus thì:

• Kiểm tra xem các thành phần Kaspersky Security Network và Giám sát hoạt động (còn gọi là System Watcher) có được bật trong giải pháp bảo mật của bạn hay không. Nếu không, hãy nhớ bật nó lên.

Dành cho những ai chưa có sản phẩm này:

• Chặn thực thi tệp c:\windows\infpub.dat, C:\Windows\cscc.dat. Điều này có thể được thực hiện thông qua .
• Vô hiệu hóa (nếu có thể) việc sử dụng dịch vụ WMI.

Một lời khuyên rất quan trọng khác từ tôi:

Luôn luôn làm hỗ trợ (sao lưu - bản sao lưu ) các tệp quan trọng đối với bạn. Trên phương tiện di động, trong dịch vụ đám mây! Điều này sẽ tiết kiệm thần kinh, tiền bạc và thời gian của bạn!

Tôi cầu chúc bạn không bị lây nhiễm bệnh này trên PC của mình. Có một Internet sạch và an toàn!

Hôm qua, ngày 24 tháng 10 năm 2017, các phương tiện truyền thông lớn của Nga cũng như một số cơ quan chính phủ Ukraine đã bị tấn công bởi những kẻ tấn công không rõ danh tính. Trong số các nạn nhân có Interfax, Fontanka và ít nhất một ấn phẩm trực tuyến giấu tên khác. Theo truyền thông, Sân bay Quốc tế Odessa, Tàu điện ngầm Kiev và Bộ Cơ sở hạ tầng Ukraine cũng báo cáo sự cố. Theo tuyên bố của các nhà phân tích Group-IB, bọn tội phạm cũng cố gắng tấn công cơ sở hạ tầng ngân hàng, nhưng những nỗ lực này đều không thành công. Ngược lại, các chuyên gia của ESET cho rằng các cuộc tấn công đã ảnh hưởng đến người dùng từ Bulgaria, Thổ Nhĩ Kỳ và Nhật Bản.

Hóa ra, sự gián đoạn trong công việc của các công ty và cơ quan chính phủ không phải do các cuộc tấn công DDoS lớn mà do một loại ransomware có tên Bad Rabbit (một số chuyên gia thích viết BadRabbit không có khoảng trắng).

Hôm qua, người ta biết rất ít về phần mềm độc hại và cơ chế hoạt động của nó: có thông tin cho rằng phần mềm tống tiền đang yêu cầu khoản tiền chuộc 0,05 bitcoin và các chuyên gia của Group-IB cũng cho biết cuộc tấn công đã được chuẩn bị trong vài ngày. Do đó, hai tập lệnh JS đã được phát hiện trên trang web của kẻ tấn công và theo thông tin từ máy chủ, một trong số chúng đã được cập nhật vào ngày 19 tháng 10 năm 2017.

Giờ đây, mặc dù chưa đến một ngày trôi qua kể từ khi cuộc tấn công bắt đầu, việc phân tích ransomware đã được các chuyên gia từ hầu hết các công ty bảo mật thông tin hàng đầu trên thế giới thực hiện. Vậy Bad Rabbit là gì và liệu chúng ta có nên đón chờ một “đại dịch ransomware” mới như WannaCry hay NotPetya?

Làm thế nào Bad Rabbit có thể gây ra sự cố ngừng hoạt động trên các phương tiện truyền thông lớn khi tất cả chỉ là các bản cập nhật Flash giả mạo? Dựa theo ESET , Emsisoft Và Fox-IT Sau khi lây nhiễm, phần mềm độc hại đã sử dụng tiện ích Mimikatz để trích xuất mật khẩu từ LSASS, đồng thời có danh sách các thông tin đăng nhập và mật khẩu phổ biến nhất. Phần mềm độc hại đã sử dụng tất cả những điều này để lây lan qua SMB và WebDAV đến các máy chủ và máy trạm khác nằm trên cùng mạng với thiết bị bị nhiễm. Đồng thời, các chuyên gia từ các công ty nêu trên và nhân viên của Cisco Talos tin rằng trong trường hợp này, không có công cụ nào bị đánh cắp từ các dịch vụ tình báo khai thác lỗ hổng trong SMB. Hãy để tôi nhắc bạn rằng virus WannaCry và NotPetya đã được phát tán bằng cách khai thác cụ thể này.

Tuy nhiên, các chuyên gia vẫn tìm ra được một số điểm tương đồng giữa Bad Rabbit và Petya (NotPetya). Do đó, ransomware không chỉ mã hóa các tệp người dùng bằng DiskCryptor mã nguồn mở mà còn sửa đổi MBR (Master Boot Record), sau đó nó khởi động lại máy tính và hiển thị thông báo đòi tiền chuộc trên màn hình.

Mặc dù thông điệp với yêu cầu của những kẻ tấn công gần giống với thông điệp từ các nhà điều hành NotPetya, nhưng các chuyên gia lại có những ý kiến ​​hơi khác nhau về mối liên hệ giữa Bad Rabbit và NotPetya. Do đó, các nhà phân tích tại Intezer đã tính toán rằng mã nguồn của phần mềm độc hại