Rebit pat. Ransomware-ul Bad Rabbit atacă criptomonede din Rusia și Ucraina

Rebit pat. Ransomware-ul Bad Rabbit atacă criptomonede din Rusia și Ucraina

Al treilea atac cibernetic la scară largă peste râu. De data aceasta virusul are un nou nume Iepure răuȘi cu apeluri vechi - criptarea datelor și strângerea de bănuți pentru deblocare. Și în zona afectată ca și anterior Rusia, Ucraina și alte țări ale SND.

Iepurele murdar se află în spatele schemei vicioase: învinge foaia de phishing cu un virus încorporat și a trimis mesaje. Pentru evidență, infractorii pot folosi suportul tehnic Microsoft și vă pot cere să deschideți fișierul atașat sau să urmați instrucțiunile. Celălalt traseu este mai larg – fereastra este mai detaliată Actualizare Adobe Flash Player. În ambele versiuni de Bad Rabbit, precum și în cea care a devenit recent celebră, acesta criptează datele victimei și extrage o răscumpărare de 0,05 Bitcoin, care este de aproximativ 280 USD la cursul de schimb din 25 iunie 2017. Victimele noii epidemii au fost Interfax, ziarul Fontanka din Sankt Petersburg, metroul din Kiev, aeroportul Odesa și Ministerul Culturii al Ucrainei. Și având în vedere asta virus nouîncercând să atace o serie de bănci rusești, dar revoluția a eșuat. Experții îl leagă pe Bad Rabbit de ultimele mari atacuri care au fost înregistrate în această soartă. Dovadă în acest sens este instrumentul de criptare similar Diskcoder.D și același instrument de criptare Petya și doar câteva variante.

Cum să te aperi de Bad Rabbit?

Fakhіvtsi recomandă conducătorilor calculatoare Windows Creați fișierul „infpub.dat” și plasați-l în folderul Windows de pe unitatea „C”. Calea rezultată poate arăta astfel: C:\windows\infpub.dat. Puteți câștiga bani folosind notepad-ul principal, dar și cu drepturi de administrator. Pentru a afla ce a fost trimis în programul Notepad, faceți clic dreapta pe mouse și selectați Run as Administrator.

Apoi trebuie doar să salvați acest fișier la adresa C:\Windows\, apoi în folderul Windows de pe unitatea „C”. Numele fișierului: infpub.dat, care înseamnă „dat” este extensia fișierului. Nu uitați să înlocuiți extensia standard de notepad „txt” cu „dat”. După ce salvați fișierul, deschideți folderul Windows, găsiți fișierul infpub.dat, faceți clic dreapta pe el și selectați elementul „Putere”, iar în partea de jos trebuie să bifați caseta de selectare „Numai citire”. În acest fel, dacă sunteți infectat cu virusul Filthy Rabbit, nu vă veți putea cripta datele.

Vizite preventive

Nu uita că te poți proteja de orice virus pur și simplu respectând regulile. Poate suna banal, dar nu deschideți deloc foile și sunt mai multe decât intrările lor, deoarece adresele vă sunt date de o persoană suspectă. Paginile de phishing se deghizează în alte servicii și reprezintă cea mai comună metodă de infectare. Fii atent la ceea ce coasi. Dacă în lista de atașamente fișierul se numește „Document important.docx_______.exe”, atunci cu siguranță nu este nevoie să deschideți acest fișier. În plus, trebuie să faceți copii de rezervă ale fișierelor importante. De exemplu, arhivele de familie cu fotografii sau documente de lucru pot fi duplicate disc extern sau pe monstru infernal. Nu uita cât de important este să fii vikorist versiune licenţiată Windows este actualizat regulat. Patch-urile de securitate sunt lansate de Microsoft în mod regulat, iar cei care le instalează nu au probleme cu astfel de viruși.

Sfârșitul acestei soarte a fost marcat de apariția unui nou virus care ataca în mod activ computerele utilizatorilor corporativi și casnici. Noul virus este un criptator și se numește Bad Rabbit, care se traduce printr-un iepure putred. Site-urile web ale mai multor instituții mass-media ruse au fost atacate de acest virus. Virusul a fost detectat ulterior în sistemele informaționale ale întreprinderilor ucrainene. Acolo au fost atacați măsuri de informare metrou, diverse ministere, aeroporturi internationale etc. Trei ani mai târziu, un atac viral similar a avut loc în Germania și Turcia, deși activitatea sa a fost mult mai scăzută decât în ​​Ucraina și Rusia.

Virusul urât are un plugin special care, odată ce ajunge la computer, începe să cripteze fișierele. Odată ce informațiile sunt criptate, infractorii încearcă să dea în judecată orașul pentru decriptarea datelor.

Răspândirea virusului

Fakhіvtsі laboratoare din dezvoltarea antivirusului Software-ul ESET Am analizat algoritmul robotizat pentru răspândirea virusului și am constatat că este un virus modificat, care s-a răspândit recent, precum virusul Petya.

Oficialii din laboratorul ESET au susținut că o gamă largă de plugin-uri ieftine sunt disponibile din resursa 1dnscontrol.com și adrese IP IP5.61.37.209. Acest domeniu și IP sunt, de asemenea, asociate cu o serie de resurse, inclusiv secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.

Fakhivtsy a investigat că autoritățile acestor site-uri au înregistrat o serie de resurse diferite, de exemplu, prin intermediul unor servicii de spam, încearcă să vândă medicamente contrafăcute. Falsificatorii ESET nu exclud ca cu ajutorul acestor resurse, vikory spam și phishing, să fi fost creat un atac cibernetic major.

Cum să te infectezi cu virusul Bad Rabbit

Cercetătorii de la Laboratorul de criminalistică informatică au efectuat o investigație asupra modului în care virusul s-a răspândit în computerele clienților. S-a descoperit că în majoritatea episoadelor virusul de criptare Bad Rabbit se extindea pe măsură ce a fost actualizat Adobe Flash. Deci virusul nu a exploatat vulnerabilitățile sistemului de operare, ci a fost instalat chiar de hackeri, care, neștiind despre el, au lăudat instalarea acestuia, crezând că actualizează pluginul Adobe Flash. Când virusul a fost eradicat din măsură locală Prin prevenirea furtului din memoria autentificărilor și parolelor și extinderea în mod independent pe alte sisteme informatice.

Cum hackerii stoarc bani

După instalarea unui virus de criptare pe un computer, este necesar să criptați informațiile care sunt salvate. Clienții vor vedea apoi o notificare care afirmă că, pentru a revoca accesul la datele lor, trebuie să plătească site-ul specificat pe darknet. Pentru care este necesar să instalați un special browser Tor. Pentru cei care au calculatorul deblocat, infractorii vor stoarce plata în valoare de 0,05 bitcoin. Începând de astăzi, prețul pentru 1 Bitcoin este de 5600 de dolari, adică aproximativ 280 de dolari pentru deblocarea unui computer. Pentru a efectua plata taxei, termenul orar este egal cu 48 de ani. După sfârșitul acestui termen, dacă suma necesară nu a fost transferată în contul electronic al escrocului, suma va crește.

Cum să te protejezi de virus

  1. Pentru a vă proteja de infectarea cu virusul Bad Rabbit, blocați accesul din centrul de informații la domeniile specificate.
  2. Pentru aparatele electrocasnice, este necesară actualizarea fluxului versiuni Windows precum și programe antivirus. Într-o asemenea situație dosar prost va fi detectat ca un virus rău, așa că dezactivați capacitatea de a-l instala pe computer.
  3. Acei koristuvachs care vikoristovuyu în punerea în aplicare a sistemului de operare antivirus sisteme Windows, se profilează deja în fața acestor delincvenți. Won vândut în programe Windows Defender Antivirus.
  4. Dezvoltatorii de software antivirus de la Kaspersky Lab își încurajează toți clienții să își facă periodic copii de rezervă ale datelor. În plus, fachiștii recomandă blocarea fișierelor wiki din c:\windows\infpub.dat, c:\WINDOWS\cscc.dat și, de asemenea, dacă este posibil, trebuie să blocați wiki-ul serviciului WMI.

Visnovok

Pielea computerului este responsabilă pentru a reține că securitatea cibernetică în timpul orei de lucru poate fi în primul rând. Prin urmare, de acum înainte, trebuie să aveți grijă de vikoristannya fără neînțelegeri resurse informaționale si atent vikorystuvati e-mailі măsuri sociale. Prin aceste resurse are loc cel mai adesea răspândirea diferiților viruși. Regulile de bază de comportament în mediul informațional vă permit să evitați problemele care apar în timpul unui atac de virus.

Bad Rabbit este un virus care comunică cu virușii gazdă și criptează. După ce a apărut destul de recent și s-a orientat ca șef pe computerul guvernului Rusiei și Ucrainei și, de asemenea, adesea al Germaniei și Turciei.

Principiul de funcționare al criptării virușilor este întotdeauna același: o dată pe computer, un program neplăcut criptează fișierele de sistem și datele clienților, blocând accesul la computer pentru o anumită parolă. Tot ceea ce apare pe ecran este susceptibil la un virus, datorită atacatorului și numărului de cont către care poți transfera bani pentru a-l debloca. După extinderea masivă a criptomonedelor, a devenit popular să faceți achiziții în Bitcoins și este dificil să urmăriți toate tranzacțiile cu acestea. Același lucru este valabil și pentru Iepure Rău. Aceasta este o nouă versiune a sistemului de operare, care a fost eliminată din Adobe Flash Player și apare sub masca unei actualizări pentru cea nouă.

După infecție, BadRabbit o creează folderele Windows infpub.dat, care creează alte fișiere cu programe: cscc.dat și dispci.exe, care își fac modificările înainte de ajustare Disc MBR Koristuvach și își creează planurile în același mod ca înainte de Planificator. Acest program ieftin rulează propriul site web personal pentru plată, folosește serviciul de criptare DiskCryptor, criptează folosind metodele RSA-2048 și AE și, de asemenea, acceptă toate dispozitivele conectate la la acest computer, încercând să-i infecteze și pe ei.

Conform evaluării Symantec, virusul a fost respins ca statut de amenințare scăzută, precum și, conform afirmațiilor lui fakivtsev, care au fost create de aceiași distribuitori, că virusul a fost identificat cu câteva luni înainte de Bad Rabbit, NotPetya și Petya. , dintre care unii pot fi algoritmi robotici similari. În primul rând, codificatorul Bad Rabbit a apărut la începutul anului 2017, iar primele sale victime au fost ziarul online „Fontanka” și site-ul web. agentie de informare„Interfax”. Compania Beeline a fost și ea supusă atacului, altfel amenințarea putea fi depășită imediat.

Notă: Pentru fericire, pentru Narazi Programele de detectare a unor astfel de amenințări nu mai sunt eficiente, iar riscul de infectare cu acest virus a scăzut.

Se confruntă cu virusul iepurelui rău

Actualizare a vantageurului

Ca în majoritatea episoadelor de acest tip, puteți încerca să reduceți amenințarea zavantazhuvach Windows. Pentru Windows 10 și Windows 8, trebuie să conectați distribuția de instalare a sistemului la USB sau DVD și, după ce l-ați descărcat, mergeți la opțiunea „Reparare computer”. După aceasta, trebuie să mergeți la „Depanare” și să selectați „ Rândul echipei».

Acum nu mai pot introduce comenzile una câte una, apăsând rapid Enter după ce am introdus următoarea comandă:

  1. bootrec /FixMbr
  2. bootrec/FixBoot
  3. bootrec /ScanOs
  4. bootrec /RebuildBcd

După efectuarea operațiunilor, se realizează ieșirea și reangajarea. Cel mai adesea acest lucru se datorează problemelor actuale.
Pentru Windows 7, acesta este același, doar „Rândul de comandă” se află în „Opțiuni” reînnoirea sistemului» privind distributia instalatiei.

Eliminarea virusului prin Safe Mode

Pentru a utiliza această metodă, trebuie să accesați modul sigur pentru măsuri suplimentare. Există restricții pentru ajutor și nu un simplu Safe Mode. Pentru Windows 10, puteți începe din nou prin distribuția de instalare. Odată ce ați terminat cu asta, în fereastra cu butonul „Instalare”, trebuie să apăsați combinația tastei Shift+F10 și să intrați în câmp:

bcdedit /set (implicit) rețea safeboot

În Windows 7, puteți apăsa pur și simplu F8 de mai multe ori când porniți computerul și selectați modul dorit din lista din meniu.
După ce ați intrat în modul sigur, capați meta-scanați sistem de operare pentru prezența amenințărilor. Puteți câștiga mai mulți bani prin utilități verificate, cum ar fi Reimage și Malwarebytes Anti-Malware.

Suspendarea amenințărilor pentru asistență către Centrul de Reînnoire

Pentru Wikoristan aceasta metoda Trebuie să reintroduceți linia de comandă conform instrucțiunilor de mai sus, iar după pornire, introduceți cd restore și confirmați apăsând Enter. După aceasta, trebuie să introduceți rstrui.exe. Se va deschide o fereastră de program în care vă puteți întoarce la punctul de actualizare anterior care transmite infecția.

24 de ani de la ZMI rusă, precum și companii de transportȘi autoritățile ucrainene au recunoscut atacurile instrumentului de criptare Bad Rabbit. Pentru tributuri vіdkritikh dzherel, printre victime, metroul din Kiev, aeroportul Odesa, Ministerul Infrastructurii al Ucrainei, editorii Interfax și Fontanka.

Conform datelor din laboratorul de virus ESET, atacul asupra metroului din Kiev a presupus folosirea programului de securitate inutil Diskcoder.D - o nouă modificare a codificatorului cunoscut sub numele de Petya.

Fakhivtsi s securitatea informatiei Grupul-IB a stabilit că atacul era pregătit de câteva zile. ESET este înaintea curbei în care criptatorul pătrunde în computer printr-o actualizare specială Plugin Adobe Flash. Acest virus vă infectează computerul și criptează fișierele de pe acesta. Apoi monitorul afișează informații despre cei care au blocat computerul, iar pentru a decripta fișierele trebuie să accesați site-ul web Bad Rabbit – caforssztxqzf2nm.onion prin Tor.

Epidemiile de criptare WannaCry și NotPetya au arătat că este urgent necesar să inovăm programe instalate acel sistem, precum și să facă copii de rezervă, pentru a nu pierde fără Informații importante după un atac de virus.

Cu toate acestea, dacă expertul de la Group-IB este infectat, nu este recomandat să plătiți răscumpărarea, fragmentele:

  • În felul acesta îi ajuți pe cei răi;
  • Nu avem dovezi că datele celor care au plătit au fost actualizate.

Cum să vă protejați computerul de a fi infectat de Bad Rabbit?

Pentru a evita să deveniți o victimă a noii epidemii Bad Rabbit, reprezentanții Kaspersky Lab recomandă să faceți următoarele:

Pentru soluțiile antivirus Kaspersky Lab:

  • Verificați ce ingrediente au fost adăugate în soluția dumneavoastră uscată Kaspersky Security Rețea și „Monitorizarea activității” (cunoscută și sub numele de System Watcher). Oricare ar fi, înmuiați-l bine.

Pentru cei care nu se plâng soluții antivirus„Laboratoarele Kaspersky”.

Bună ziua tuturor! În doar câteva zile, un atac pe scară largă al hackerilor cu noul virus de criptare Bad Rabbit, cunoscut și sub numele de Diskcoder.D, a început în Rusia și Ucraina, Turcia, Germania și Bulgaria. Criptorul atacă imediat rețelele corporative ale organizațiilor mari și mijlocii, blocând toate rețelele. Astăzi înțelegem ce este acest troian și cum vă puteți proteja de el.

Ce este acest virus?

Bad Rabbit urmează o schemă standard pentru criptoare: ei scurg fișiere în sistem, iar pentru decriptare, hackerii extrag 0,05 bitcoin, care la cursul de schimb devine 283 USD (sau 15.700 de ruble). Acest lucru va fi indicat de o fereastră mare care indică unde, unde și unde trebuie să introduceți cheia de achiziție. Amenințarea este legată de tipul de troieni Trojan.Win32.Generic Prote în nou prezent alte componente, cum ar fi DangerousObject.Multi.Genericі Răscumpărare.Câștig 32.Gen.ftl.

Bad Rabbit - nou virus de criptare

Este încă dificil să eliminați complet toate elementele infecției, dar fakhivtsi se va ocupa acum. Aparent, amenințarea ajunge la PC-uri prin intermediul site-urilor infectate care sunt configurate cu redirecționări sau sub forma unor actualizări false pentru plugin-uri populare, cum ar fi Adobe Flash. Lista unor astfel de site-uri este încă în extindere.

Cum poți elimina un virus și cum să scapi de el?

Este ușor de spus că toate laboratoarele antivirus au început să analizeze acest troian. Nu are rost să cauți informații de la un virus care a fost deja detectat. Să aruncăm o privire la pașii standard: creați o copie de rezervă a sistemului, un punct de rezervă și ștergeți astfel de fișiere. Dacă nu aveți suficiente economii, atunci totul nu funcționează; hackerii s-au gândit la astfel de momente prin specificarea virusului.

Cred că în curând vor exista decriptoare pentru Bad Rabbit create de amatori din întreaga lume - folosind fie programul sau nu - al tău din dreapta. După ce a arătat vechiul instrument de criptare Petya, acesta ajută puțini oameni.

Și axa poate fi înaintea amenințării și o puteți vedea atunci când încercați să vă conectați la computer. Laboratoarele Kaspersky și ESET au fost primele care au răspuns la știrile despre epidemia de virus și blochează deja imediat încercările de pătrundere. Browser Google De asemenea, Chrome a început să detecteze resursele infectate și să înceapă să-și suprime nesiguranța. Axele care trebuie dezvoltate pentru a fi protejate de BadRabbit în prealabil:

  1. Dacă utilizați Kaspersky, ESET, Dr.Web sau alți analogi populari pentru protecție, este necesar să actualizați bazele de date. De asemenea, pentru Kaspersky este necesar să activați „Monitorizarea activității” (System Watcher), iar ESET oprește semnăturile de la actualizările 16295.

  2. Dacă nu utilizați antivirusuri, atunci trebuie să vă blocați fișierele. C:\Windows\infpub.datі C:\Windows\cscc.dat. Încercați prin editor politici de grup, sau programul AppLocker pentru Windows.

    3. Bazhano Zaboroniti Vikonannya Service – Windows Management Instrumentation (WMI). La zece se cheamă serviciul „Set de instrumente Gestionare Windows. Prin butonul corect părăsiți autoritățile serviciului și alegeți dintre „Tipul de lansare” modul "Deconectat".

  3. Obov'yazkovo pentru a câștiga copie de rezervă sistemul dvs. În teorie, o copie trebuie să fie întotdeauna salvată pe nasul care este conectat. Axa este mică, instrucțiunile video sunt create rapid.

    4. Visnovok

    La sfârșitul zilei, cel mai important lucru de spus este că nu ar trebui să plătiți o răscumpărare, astfel încât să nu o aveți criptată. Astfel de acțiuni fac mai puțin probabil ca guvernele să creeze noi atacuri de virus. Urmăriți forumurile companiilor de antivirus, deoarece sunt sigur că puteți învinge rapid virusul Bad Rabbit și puteți găsi o pastilă eficientă. Asigurați-vă că selectați cele mai importante elemente pentru a vă proteja sistemul de operare. Dacă aveți un nume, înscrieți-vă în comentarii.

 

 
Tse tsikavo: