Як захиститись від нового вірусу кролика. Що за вірус Bad Rabbit та як від нього захиститися

Вірус-шифрувальник, відомий як Bad Rabbit, атакував десятки тисяч комп'ютерів в Україні, Туреччині та Німеччині. Але найбільше атак припало на Росію. Що це за вірус та як захистити свій комп'ютер, розповідаємо у нашій рубриці "Питання-відповідь".

Хто постраждав у Росії від Bad Rabbit?

Вірус-шифрувальник Bad Rabbit почав поширюватися 24 жовтня. Серед постраждалих від його дії - інформагентство "Інтерфакс", видання "Фонтанка.ру".

Також від дій хакерів постраждали метрополітен Києва та аеропорт Одеси. Після стало відомо про спробу злому системи кількох російських банків із топ-20.

За всіма ознаками це цілеспрямована атака на корпоративні мережі, оскільки використовуються методи, подібні до тих, що спостерігалися при атаці вірусу ExPetr.

Новий вірус всім висуває одну вимогу: викуп 0,05 біткоїну. У перерахунку на рублі це близько 16 тисяч карбованців. При цьому він повідомляє, що час виконання цієї вимоги обмежений. На все про все дається трохи більше 40 годин. Далі плата за викуп збільшиться.

Що це за вірус та як він працює?

Чи вдалося вже з'ясувати, хто стоїть за його поширенням?

З'ясувати, хто стоїть за цією атакою, поки що не вдалося. Розслідування лише призвело програмістів до доменного імені.

Фахівці антивірусних компаній відзначають схожість нового вірусу із вірусом Petya.

Але, на відміну від минулих цьогорічних вірусів, цього разу хакери вирішили піти простим шляхом, повідомляє 1tv.ru .

"Очевидно, злочинці очікували, що в більшості компаній користувачі оновлять свої комп'ютери після двох цих атак, і вирішили випробувати досить дешевий засіб - соціальну інженерію, щоб спочатку відносно непомітно заражати користувачів", - повідомив керівник відділу антивірусних досліджень "Лабораторії Касперського" В'ячеслав Закоржевський.

Як захистити свій комп'ютер від вірусу?

Обов'язково зробіть резервну копію системи. Якщо ви використовуєте для захисту Касперський, ESET, Dr.Web чи інші популярні аналоги, слід оперативно оновити бази даних. Також для Касперського необхідно включити "Моніторинг активності" (System Watcher), а в ESET застосувати сигнатури з оновленням 16295, інформує talkdevice.

Якщо у вас немає антивірусників, заблокуйте виконання файлів C:\Windows\infpub.dat та C:\Windows\cscc.dat. Робиться це через редактор групових політик чи програму AppLocker для Windows.

Забороніть виконання служби - Windows Management Instrumentation (WMI). Через праву кнопкуувійдіть у властивості служби та виберіть у "Тип запуску" режим "Відключена".

Вітаю Вас, дорогі відвідувачі та гості даного блогу! Сьогодні у світі з'явився черговий вірус-шифрувальник на ім'я: « Bad Rabbit» — « Злісний кролик«. Це вже третій гучний шифрувальник за 2017 рік. Попередні були і (він же NotPetya).

Bad Rabbit — Хто вже постраждав і чи багато грошей вимагає?

Поки що, ймовірно, від цього шифрувальника постраждали кілька російських медіа - серед них Інтерфакс і Фонтанка. Також про хакерську атаку - можливо, пов'язану з тим самим Bad Rabbit, - повідомляє аеропорт Одеси.

За розшифровку файлів зловмисники вимагають 0,05 біткойна, що за сучасним курсом приблизно еквівалентно 283 доларів або 15 700 рублів.

Результати дослідження "Лабораторії Касперського" говорять про те, що в атаці не використовуються експлойти. Bad Rabbit розповсюджується через заражені веб-сайти: користувачі завантажують фальшивий установник Adobe Flash, вручну запускають його і цим заражають свої комп'ютери.

Як повідомляє «Лабораторія Касперського», експерти розслідують цю атаку і шукають способи боротьби з ним, а також шукають можливість дешифрування файлів, що постраждали від шифрувальника.

Більшість постраждалих від атаки перебувають у Росії. Також відомо, що схожі атаки відбуваються в Україні, Туреччині та Німеччині, але в набагато меншій кількості. Шифрувальник Bad Rabbitпоширюється через низку заражених сайтів російських ЗМІ.

"Лабораторія Каперського" вважає, що всі ознаки вказують на те, що це цілеспрямована атака на корпоративні мережі. Використовуються методи, схожі на те, що ми спостерігали в атаці ExPetr, проте зв'язку з ExPetr ми не підтвердити.

Вже відомо, що продукти «Лабораторії Касперського» детектують один із компонентів зловреда за допомогою хмарного сервісу Kaspersky Security Network як UDS:DangerousObject.Multi.Generic, а також за допомогою System Watcher як PDM:Trojan.Win32.Generic.

Як захистити себе від вірусу Bad Rabbit?

Щоб не стати жертвою нової епідемії «Поганого кролика», « Лабораторія Касперськогорекомендуємо зробити наступне:

Якщо у вас встановлений Антивірус Касперського, то:

• Перевірте, чи увімкнені у вашому захисному рішенні компоненти Kaspersky Security Network та «Моніторинг активності» (він же System Watcher). Якщо ні – обов'язково увімкніть.

Для тих, хто не має цього продукту:

• Заблокуйте виконання файлу c:\windows\infpub.dat, C:\Windows\cscc.dat. Це можна зробити через .
• Забороніть використання сервісу WMI, якщо це можливо.

Ще дуже важлива порада від мене:

Завжди робіть backup (бекап - резервна копія ) важливих Вам файлів. На знімному носії, в хмарних сервісах! Це збереже ваші нерви, гроші та час!

Бажаю вам не підхопить цієї зарази до себе на ПК. Чистого та безпечного Вам інтернету!

Вірус-шифрувальник Bad Rabbit, атаку якого напередодні зазнали російські ЗМІ, намагався атакувати і російські банки з топ-20, розповіли Forbes у Group-IB, яка займається розслідуванням та запобіганням кіберзлочинам. Уточнити подробиці атак на кредитні організації представник компанії відмовився, пояснивши, що Group-IB не розкриває інформацію про клієнтів, які використовують її систему виявлення вторгнень.

За даними фахівців з кібербезпеки, спроби зараження вірусом інфраструктур російських банків відбувалися 24 жовтня з 13.00 до 15.00 мск. У Group-IB вважають, що кібератаки продемонстрували якісніший захист банків порівняно з компаніями небанківського сектору. Раніше в компанії повідомили, що новий вірус-шифрувальникЙмовірно, пов'язаний із червневою епідемією шифрувальника NotPetya (на це вказують збіги в коді), атакував російські ЗМІ. Йшлося про інформаційних системахагенції «Інтерфакс», а також серверах петербурзького порталу новин"Фонтанка". Крім того, вірус вдарив у системи Київського метрополітену, міністерства інфраструктури України, Міжнародного аеропорту «Одеса». NotPetya влітку вразив енергетичні, телекомунікаційні та фінансові компанії переважно на Україні. За розшифровку файлів, заражених вірусом BadRabbit, зловмисники вимагають 0,05 біткойна, що за поточним курсом приблизно еквівалентно $283 або 15 700 рублів.

У «Лабораторії Касперського» уточнили, що на цей раз більшість жертв хакери обрали в Росії. Проте схожі атаки в компанії зафіксували в Україні, Туреччині та Німеччині, але «у значно меншій кількості». «Усі ознаки вказують на те, що це цілеспрямована атака на корпоративні мережі. Використовуються методи, схожі на ті, що ми спостерігали в атаці ExPetr, проте зв'язку з ExPetr ми не підтвердити», - повідомив представник компанії. Співрозмовник Forbes додав, що всі продукти "Лабораторії Касперського" "детектують ці шкідливі файли як UDS: DangerousObject.Multi.Generic".

Як захиститись?

З метою захисту від цієї атаки в «Лабораторії Касперського» рекомендували використовувати антивірус із включеним KSN та модулем «Моніторинг системи». "Якщо не встановлено захисне рішення "Лабораторії Касперського", ми рекомендуємо заборонити виконання файлів з назвами c:\windows\infpub.dat та C:\Windows\cscc.dat за допомогою інструментів системного адміністрування", - порадив керівник відділу антивірусних досліджень "Лабораторії" Касперського» В'ячеслав Закоржевський.

У Group-IB зазначають, щоб вірус не зміг зашифрувати файли, «необхідно створити файл C:\windows\infpub.dat та поставити йому права «тільки для читання». Після цього навіть у разі зараження файли не будуть зашифровані, йдеться у повідомленні компанії. У той же час потрібно оперативно ізолювати комп'ютери, які були помічені у пересиланні подібних шкідливих файлів, щоб уникнути масштабного зараження інших комп'ютерів, підключених до мережі. Після цього користувачам необхідно переконатися в актуальності та цілісності резервних копійключових мережевих вузлів.

Коли первинні дії виконані, користувачеві радять оновити Операційні системита системи безпеки, паралельно заблокувавши IP-адреси та доменні імена, з яких відбувалося поширення шкідливих файлів. Group-IB рекомендує змінити всі паролі на складніші та поставити блокування спливаючих вікон, а також заборонити зберігання паролів у LSA Dump у відкритому вигляді.

Хто стоїть за атакою BadRabbit

У 2017 році вже було зафіксовано дві найбільші епідемії шифрувальників - WannaCry (атакував 200 000 комп'ютерів у 150 країнах світу) та ExPetr. Останній – Petya і одночасно NotPetya, зазначають у «Лабораторії Касперського». Тепер, на думку компанії, "починається третя". Ім'я нового вірусу-шифрувальника Bad Rabbit "написано на сторінці в даркнеті, на яку його творці відправляють за з'ясуванням деталей", уточнюють у компанії. У Group-IB вважають, що Bad Rabbit є модифікованою версією NotPetya з виправленими помилками алгоритму шифрування. Зокрема, код Bad Rabbit включає блоки, що повністю повторюють NotPetya.

В ESET Russia погоджуються, що шкідливе ПЗ «Win32/Diskcoder.D», що використовувалося в атаці, – модифікована версія «Win32/Diskcoder.C», більш відомого як Petya/NotPetya. Як уточнив Віталій Земських, керівник підтримки продажів ESET Russia, у розмові з Forbes, статистика атак по країнах «значною мірою відповідає географічному розподілу сайтів, що містять шкідливий JavaScript». Таким чином, більша частина заражень припала на Росію (65%), слідом йдуть Україна (12,2%), Болгарія (10,2%), Туреччина (6,4%) та Японія (3,8%).

Зараження вірусом Bad Rabbit відбувалося після заходу на зламані сайти. На скомпрометовані ресурси HTML-код хакери завантажили JavaScript-інжект, який показував відвідувачам підроблене вікно, що пропонує встановити оновлення Adobe Flash плеєра. Якщо користувач погоджувався на оновлення, на комп'ютер встановлювався шкідливий файл з ім'ям «install_flash_player.exe». «Заразив робочу станціюв організації шифратор може поширюватися всередині корпоративної мережі через протокол SMB. На відміну від свого попередника Petya/NotPetya, Bad Rabbit не використовує експлойт EthernalBlue - натомість він сканує мережу на предмет відкритих мережевих ресурсів», – каже Земських. Слідом на зараженій машині запускається інструмент Mimikatz для збирання облікових даних. Крім того, передбачено жорстко закодований список логінів та паролів.

Інформації про те, хто організував атаки хакерів поки немає. У той же час, на думку Group-IB, схожі за характером масові атаки WannaCry та NotPetya могли бути пов'язані з хакерськими угрупованнями, які фінансують держави. Фахівці роблять такий висновок на підставі того, що фінансовий зиск від подібних атак у порівнянні зі складністю їх проведення «мізерний». «Швидше за все, це були не спроби заробити, а перевірити рівень захисту мереж критичної інфраструктури підприємств, держвідомств та приватних компаній», - підсумовують експерти. Представник Group-IB підтвердив Forbes, що останній вірус – Bad Rabbit – може виявитися перевіркою захисту інфраструктур держвідомств та бізнесу. «Так, це не виключено. З огляду на те, що атаки велися точково - по об'єктах критичної інфраструктури - аеропорт, метрополітен, держустанови», - пояснює співрозмовник Forbes.

Відповідаючи на питання про винних в останній атаці, в ESET Russia наголошують, що використовуючи лише інструменти антивірусної компанії, провести якісне розслідування та встановити причетних неможливо, це завдання фахівців іншого профілю. «Ми як антивірусна компанія виявляємо методи та цілі атак, шкідливі інструменти атакуючих, уразливості та експлойти. Пошук винних, їх мотивів, державної власності та інше – не наша сфера відповідальності», - заявив представник компанії, пообіцявши зробити висновки щодо призначення Bad Rabbit за підсумками розслідування. "На жаль, у найближчій перспективі ми побачимо чимало подібних інцидентів - вектор і сценарій цієї атаки показали високу ефективність", - роблять прогнози в ESET Russia. Співрозмовник Forbes нагадує, що на 2017 рік компанія прогнозувала зростання кількості цільових атак на корпоративний сектор, перш за все, на фінансові організації (більш ніж на 50%, попереднім оцінкам). "В даний час ці прогнози збуваються, ми спостерігаємо зростання кількості атак у поєднанні зі збільшенням збитків постраждалих компаній", - визнає він.

Вірус-шифрувальник Bad Rabbit або Diskcoder.D. атакує корпоративні мережі великих і середніх організацій, блокуючи всі мережі.

Bad Rabbit або "поганий кролик" важко назвати першопрохідником - йому передували віруси-шифрувальники Petya та WannaCry.

Bad Rabbit - що за вірус

Схему поширення нового вірусу досліджували експерти антивірусної компанії ESET та з'ясували, що Bad Rabbit проникав на комп'ютери жертв під виглядом. оновлення Adobe Flash для браузера.

В антивірусній компанії вважають, що шифратор Win32/Diskcoder.D, який отримав назву Bad Rabbit – модифікована версія Win32/Diskcoder.C, більш відомого як Petya/NotPetya, який вразив IT-системи організацій у кількох країнах у червні. На зв'язок Bad Rabbit з NotPetya вказують збіги коду.

В атаці використовується програма Mimikatz, яка перехоплює на зараженій машині логіни та паролі. Також у коді є вже прописані логіни та паролі для спроб отримання адміністративного доступу.

У новій шкідливій програмі виправлені помилки в шифруванні файлів – код, використаний у вірусі, призначений для шифрування логічних дисків, зовнішніх USB-накопичувачів та образів CD/DVD, а також системних завантажувальних розділів диска. Так, що експертам із дешифрування доведеться витратити багато часу, щоб розкрити секрет вірусу Bad Rabbit, стверджують фахівці.

Новий вірус, як стверджують фахівці, діє за стандартною для шифрувальників схемі - потрапляючи в систему невідомо звідки, він кодує файли, за розшифровку яких вибирають файли.

Розблокування одного комп'ютера обійдеться в 0,05 біткоїну, що становить близько 283 доларів за поточним курсом. У разі виплати викупу шахраї надішлють спеціальний код-ключ, який дозволить відновити нормальну роботу системи і не втратити все.

Якщо користувач не переведе кошти протягом 48 годин, розмір викупу зросте.

Але варто пам'ятати, що виплата викупу - може бути пасткою, яка не гарантує розблокування комп'ютера.

В ESET зазначають, що в даний час зв'язок шкідливої ​​програми з віддаленим сервером відсутній.

Вірус найбільше вразив російських користувачів, меншою мірою — компанії в Німеччині, Туреччині та Україні. Розповсюдження відбувалося через заражені ЗМІ. Відомі заражені сайти вже заблоковано.

У ESET вважають, що статистика атак значною мірою відповідає географічному розподілу сайтів, що містять шкідливий JavaScript.

Як захиститись

Фахівці компанії Group-IB, яка займається запобіганням та розслідуванню кіберзлочинностей, дали рекомендації, як захиститися від вірусу Bad Rabbit.

Зокрема, для захисту від мережевого шкідника потрібно створити на своєму комп'ютері файл C: windows infpub.dat, при цьому в розділі адміністрування встановити для нього права "тільки для читання".

Цією дією виконання файлу буде заблоковано, і всі документи, що надходять ззовні, не будуть зашифровані навіть у тому випадку, якщо виявляться зараженими. Потрібно створити резервну копію всіх цінних даних, щоб у разі зараження не втратити їх.

Фахівці Group-IB також радять заблокувати ip-адреси та доменні імена, з яких відбувалося поширення шкідливих файлів, поставити користувачам блокування спливаючих вікон.

Рекомендується також оперативно ізолювати комп'ютери у системі виявлення вторгнень. Користувачам ПК слід також перевірити актуальність та цілісність резервних копій ключових мережних вузлів та оновити операційні системи та системи безпеки.

"У частині парольної політики: налаштуваннями групової політикизабороніть зберігання паролів у LSA Dump у відкритому вигляді. Змініть усі паролі на складні", - додали в компанії.

Попередники

Вірус WannaCry у травні 2017 року поширився не менш ніж у 150 країнах світу. Він шифрував інформацію та вимагав заплатити викуп, за різними даними, від 300 до 600 доларів.

Від нього постраждали понад 200 тисяч користувачів. За однією з версій його творці взяли за основу шкідливу програму АНБ США Eternal Blue.

Глобальна атака вірусу-здирника Petya 27 червня вразила IT-системи компаній у кількох країнах світу, більшою мірою торкнувшись України.

На атаку зазнали комп'ютери нафтових, енергетичних, телекомунікаційних, фармацевтичних компаній, а також держорганів. Кіберполіція України заявила, що атака вірусу-здирника відбулася за допомогою програми "M.E.doc".

Матеріал підготовлений на основі відкритих джерел