Бед ребіт. Шифрувальник Bad Rabbit («Поганий кролик») атакує користувачів з Росії та України

Бед ребіт. Шифрувальник Bad Rabbit («Поганий кролик») атакує користувачів з Росії та України

Третя масштабна кібератака за рік. На цей раз вірус з новою назвою Bad Rabbitі старими звичками - шифрування даних та вимагання грошей за розблокування. І в зоні поразки як і раніше Росія, Україна та деякі інші країни СНД.

Поганий Кролик діє за звичною схемою: надсилає фішингове лист із вкладеним вірусом чи посиланням. Зокрема, зловмисники можуть бути техпідтримкою Microsoft і попросити терміново відкрити вкладений файл або пройти за посиланням. Є й інший шлях поширення – підроблене вікно оновлення Adobe Flash Player. В обох випадках Bad Rabbit діє також, як і нашумевший нещодавно, він шифрує дані жертви і вимагає викуп у розмірі 0,05 біткойна, що приблизно $280 за курсом на 25 жовтня 2017 року. Жертвами нової епідемії стали "Інтерфакс", пітерське видання "Фонтанка", київський Метрополітен, одеський аеропорт та Міністерство культури України. Є дані, що новий віруснамагався атакувати і кілька відомих російських банків, але ця витівка провалилася. Експерти пов'язують Bad Rabbit із попередніми великими атаками, зафіксованими цього року. Доказом тому служить подібне шифрування Diskcoder.D, а це той самий шифрувальник Petya, тільки трохи видозмінений.

Як захиститись від Bad Rabbit?

Фахівці рекомендують власникам Windows комп'ютерівстворити файл "infpub.dat" і помістити його в папку Windows на диску "C". У результаті шлях має виглядати так: C:\windows\infpub.dat. Зробити це можна за допомогою звичайного блокнота, але з правами адміністратора. Для цього знаходимо посилання на програму Блокнот, клацаємо правою кнопкою мишки і вибираємо Запуск від імені Адміністратора.

Далі потрібно просто зберегти цей файл за адресою C: \ Windows \, ​​тобто в папку Windows на диску "C". Назва файлу: infpub.dat, при цьому "dat" це розширення файлу. Не забудьте замінити стандартне розширення блокноту "txt" на "dat". Після того, як ви збережете файл, відкрийте папку Windows, знайдіть створений файл infpub.dat, натисніть на нього правою кнопкою миші і виберіть пункт "Властивості", де в самому низу потрібно поставити галочку "Тільки читання". Таким чином, навіть якщо ви зловите вірус Поганого Кролика, він не зможе зашифрувати ваші дані.

Превентивні заходи

Не забувайте, що захистити себе від будь-якого вірусу можна просто дотримуючись певних правил. Прозвучить банально, але ніколи не відкривайте листи і вже тим більше їх вкладення, якщо адреса здається вам підозрілою. Фішингові листи, тобто маскуються під інші послуги, найчастіший спосіб зараження. Уважно стежте за тим, що ви відкриваєте. Якщо в листі вкладений файл називається «Важливий документ.docx_______.exe», то відкривати цей файл точно не слід. Крім цього, потрібно мати резервні копії важливих файлів. Наприклад, сімейний архів з фотографіями або робочі документи можна продублювати на зовнішній дискабо на хмарне сховище. Не забувайте, як важливо використовувати ліцензійну версію Windows та регулярно встановлювати оновлення. Патчі безпеки випускаються Microsoft регулярно і ті, хто їх встановлює, не мають проблем з подібними вірусами.

Кінець жовтня цього року було ознаменовано появою нового вірусу, який активно атакував комп'ютери корпоративних та домашніх користувачів. Новий вірус є шифрувальником і називається Bad Rabbit, що в перекладі означає поганий кролик. За допомогою цього вірусу атакували сайти кількох російських засобів масової інформації. Пізніше вірус виявили і в інформаційних мережах українських підприємств. Там були атаковані інформаційні мережіметрополітену, різних міністерств, міжнародних аеропортів та інше. Трохи пізніше аналогічна вірусна атака спостерігалася в Німеччині та Туреччині, хоча її активність була суттєво нижчою, ніж в Україні та Росії.

Шкідливий вірус є спеціальним плагіном, який після попадання на комп'ютер, робить шифрування його файлів. Після того, як інформація була зашифрована, зловмисники намагаються отримати винагороду від користувачів за розшифрування даних.

Розповсюдження вірусу

Фахівці лабораторії з розробки антивірусних програм ESETпроаналізували алгоритм роботи шляху поширення вірусу і дійшли висновків, що він є модифікованим вірусом, який нещодавно поширювався, як вірус Petya.

Фахівці лабораторії ESET вирахували, що поширення шкідливих плагінів здійснювалося з ресурсу 1dnscontrol.com та IP-адреси IP5.61.37.209. З цим доменом та IP також пов'язані ще кілька ресурсів, серед яких secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.

Фахівцями було розслідувано, що власниками цих сайтів зареєстровано безліч різних ресурсів, наприклад, через які спам розсилки намагаються реалізувати контрафактні медикаменти. Фахівці ESET не виключають, що саме за допомогою цих ресурсів, використовуючи спам розсилку та фішинг, була здійснена основна кібератака.

Як відбувається зараження вірусом Bad Rabbit

Фахівцями лабораторії комп'ютерної криміналістики проводилося розслідування, як вірус потрапляв на комп'ютери користувачів. Було виявлено, що в більшості випадків вірус-шифрувальник Bad Rabbit поширювався як оновлення до Adobe Flash. Тобто вірус не використовував уразливості операційної системи, а встановлювався самими користувачами, які, не знаючи про це, схвалювали його установку, думаючи, що вони оновлюють плагін Adobe Flash. Коли вірус потрапляв у локальну мережуВін виробляв крадіжку з пам'яті логінів і паролів і самостійно поширювався на інші комп'ютерні системи.

Як хакери вимагають гроші

Після того як вірус-шифрувальник був встановлений на комп'ютері він робить шифрування інформації, що зберігається. Далі користувачі отримують повідомлення, в якому вказується, що для того, щоб отримати доступ до своїх даних, слід виконати платіж на вказаному сайті в даркнеті. Для цього спочатку потрібно встановити спеціальний браузер Tor. За те, що комп'ютер буде розблоковано, зловмисники вимагають оплату в сумі 0,05 біткоїну. На сьогоднішній день, за ціною за 1 Bitcoin 5600 доларів, це становить приблизно 280 доларів за розблокування комп'ютера. На те щоб зробити оплату користувачеві надається тимчасовий термін рівний 48 годин. Після закінчення цього терміну, якщо необхідну суму не було переведено на електронний рахунок зловмисника, сума збільшується.

Як захиститися від вірусу

  1. Щоб захистити себе від зараження вірусом Bad Rabbit, слід заблокувати доступ з інформаційного середовища до вказаних вище доменів.
  2. Для домашніх користувачів потрібно провести оновлення поточної версії Windowsа також антивірусної програми. В такому випадку шкідливий файлбуде детектуватись, як вірус здирник, що виключить можливість його встановлення на комп'ютері.
  3. Ті користувачі, які використовують вбудований антивірус операційної системи Windows, вже мають захист від цих здирників. Вона реалізована в програмі Windows Defender Antivirus.
  4. Розробники антивірусної програми з Касперського лабораторії радять усім користувачам періодично робити бэкап своїх даних. Крім цього, фахівці рекомендують блокувати виконання файлів c:\windows\infpub.dat, c:\WINDOWS\cscc.dat, а також, якщо є можливість, то потрібно заборонити використання WMI-сервісу.

Висновок

Кожен із користувачів комп'ютера повинен пам'ятати, що кібербезпека під час роботи в мережі має бути на першому місці. Тому завжди потрібно стежити за використанням лише перевірених інформаційних ресурсівта акуратно використовувати електронну поштуі соціальні мережі. Саме через ці ресурси найчастіше здійснюється поширення різних вірусів. Елементарні правила поведінки в інформаційному середовищі дозволять виключити проблеми, що виникають при вірусній атаці.

Bad Rabbit - це вірус, що відноситься до вірусів-вимагачів, що шифрують. З'явився він зовсім недавно і орієнтований головним чином на комп'ютери користувачів Росії та України, а також частково Німеччини та Туреччини.

Принцип роботи вірусів-шифрувальників завжди один: потрапляючи на комп'ютер, шкідлива програма шифрує файли системи та дані користувача, блокуючи доступ до комп'ютера за допомогою пароля. Все, що відображається на екрані, – це вікно вірусу, вимоги зловмисника та номер рахунку, на який вимагає перевести гроші для розблокування. Після масового поширення криптовалют стало популярно вимагати викуп саме в біткоїнах, оскільки операції з ними вкрай складно відстежити з боку. Також надходить і Bad Rabbit. Він використовує вразливість операційної системи, зокрема Adobe Flash Player, і проникає під виглядом оновлення для нього.

Після зараження BadRabbit створює в папці Windowsфайл infpub.dat, який створює інші файли програми: cscc.dat і dispci.exe, які вносять свої зміни до налаштувань MBR дискакористувача і створюють свої завдання подібно до Планувальника завдань. Ця шкідлива програма має свій персональний сайт для оплати викупу, користується сервісом шифрування DiskCryptor, шифрує методами RSA-2048 та AE, а також відстежує всі пристрої, підключені до даному комп'ютеру, намагаючись заразити їх також.

Згідно з оцінкою Symantec вірус отримав статус низької загрози, а також, за твердженням фахівців, був створений тими ж розробниками, що й віруси, виявлені за пару місяців до Bad Rabbit, NotPetya та Petya, оскільки має схожі алгоритми роботи. Вперше шифрувальник Bad Rabbit з'явився в жовтні 2017 року і першими його жертвами стали інтернет-газета «Фонтанка», низка ЗМІ та сайт інформаційного агентства"Інтерфакс". Компанія «Білайн» також була піддана атаці, але загрозу вдалося вчасно запобігти.

Примітка: На щастя, на Наразіпрограми виявлення подібних загроз вже ефективніші, ніж раніше, і ризик зараження цим вірусом знизився.

Видалення вірусу Bad Rabbit

Відновлення завантажувача

Як і в більшості випадків подібного типу, для усунення загрози можна спробувати відновити завантажувач Windows. У випадку з Windows 10 і Windows 8 для цього необхідно підключити інсталяційний дистрибутив системи на USB або DVD і, завантажившись з нього, перейти до опції «Виправлення комп'ютера». Після цього потрібно перейти в «Усунення несправностей» та вибрати « Командний рядок».

Тепер залишилося ввести команди одну за одною, щоразу натискаючи Enter після введення чергової команди:

  1. bootrec /FixMbr
  2. bootrec/FixBoot
  3. bootrec /ScanOs
  4. bootrec /RebuildBcd

Після проведених операцій – вихід та перезавантаження. Найчастіше цього вистачає на вирішення проблеми.
Для Windows 7 дії ті самі, тільки там «Командний рядок» знаходиться в «Опціях системного відновлення» на настановному дистрибутиві.

Усунення вірусу через Безпечний режим

Для використання цього способу необхідно увійти до безпечний режимза допомогою мережі. Саме за допомогою мережі, а не простий Безпечний режим. У Windows 10 це можна зробити знову ж таки через інсталяційний дистрибутив. Завантажившись з нього, у вікні з кнопкою «Встановити» необхідно натиснути комбінацію із клавіш Shift+F10 і ввести в поле:

bcdedit /set (default) safeboot network

У Windows 7 можна просто кілька разів протиснути F8 під час включення комп'ютера і в меню вибрати цей режим завантаження зі списку.
Після входу в безпечний режим головна мета – просканувати операційну системуна наявність загроз. Зробити це краще через перевірені часом утиліти, такі як Reimage чи Malwarebytes Anti-Malware.

Усунення загрози за допомогою Центру відновлення

Для використання даного способунеобхідно знову задіяти командний рядок, як з інструкції вище, а після її запуску ввести cd restore і підтвердити натисканням Enter. Після цього необхідно ввести rstrui.exe. Відкриється вікно програми, в якому можна повернутися на попередню точку відновлення, що передує зараженню.

24 жовтня російські ЗМІ, а також транспортні компаніїта державні установи України зазнали атаки шифрувальника Bad Rabbit («Поганий кролик»). За даними відкритих джерел, серед постраждалих Київський метрополітен, аеропорт Одеси, Міністерство інфраструктури України, редакції «Інтерфаксу» та «Фонтанки».

За даними вірусної лабораторії ESET, в атаці на Київський метрополітен використовувалося шкідливе програмне забезпечення Diskcoder.D - нова модифікація шифратора, відомого як Petya.

Фахівці з інформаційної безпекиіз Group-IB встановили, що атака готувалася кілька днів. В ESET попереджають, що шифрувальник проникає в комп'ютер через підроблене оновлення плагіна Adobe Flash. Після цього він заражає ПК та шифрує файли на ньому. Потім на моніторі з'являється повідомлення про те, що комп'ютер заблокований, а для розшифровки файлів необхідно зайти на сайт Bad Rabbit – caforssztxqzf2nm.onion через Tor.

Епідемії шифрувальників WannaCry та NotPetya показали, що необхідно вчасно оновлювати встановлені програмита систему, а також робити резервні копії, щоб не залишитися без важливої ​​інформаціїпісля атаки вірусів.

Однак, якщо зараження відбулося експерти з Group-IB не рекомендуємо платити викуп, оскільки:

  • таким чином ви допомагаєте злочинцям;
  • ми не маємо доказів, що дані тих, хто заплатив, були відновлені.

Як захистити комп'ютер від зараження Bad Rabbit?

Щоб не стати жертвою нової епідемії Bad Rabbit («Поганий кролик»), фахівці «Лабораторії Касперського» рекомендують зробити таке:

Для користувачів антивірусних рішень «Лабораторії Касперського»:

  • Перевірте, чи увімкнені у вашому захисному рішенні компоненти Kaspersky Security Network та «Моніторинг активності» (він же System Watcher). Якщо ні – обов'язково увімкніть.

Для тих, хто не користується антивірусними рішеннями"Лабораторії Касперського".

Всім привіт! Буквально днями в Росії та Україні, Туреччині, Німеччині та Болгарії почалася масштабна атака хакерів новим вірусом-шифрувальником Bad Rabbit, він же Diskcoder.D. Шифрувальник зараз атакує корпоративні мережі великих і середніх організацій, блокуючи всі мережі. Сьогодні ми розповімо, що з себе представляє цей троян і як можна захиститися від нього.

Що це за вірус?

Bad Rabbit (Поганий Кролик) діє за стандартною для шифрувальників схемою: потрапляючи в систему, він кодує файли, за розшифровку яких хакери вимагають 0,05 біткоїну, що за курсом становить 283 $ (або 15 700 руб). Про це повідомляється окремим вікном, куди, власне, і потрібно вводити куплений ключ. Загроза відноситься до типу троянів Trojan.Win32.Genericпроте в ньому присутні й інші компоненти, такі як DangerousObject.Multi.Genericі Ransom .Win 32.Gen .ftl.

Bad Rabbit - новий вірус шифрувальник

Повністю відстежити всі джерела зараження поки що складно, але фахівці цим зараз займаються. Імовірно, загроза потрапляє на ПК через заражені сайти, на яких налаштовано перенаправлення, або під виглядом фейкових оновлень для популярних плагінів типу Adobe Flash. Список таких сайтів поки що розширюється.

Чи можна видалити вірус та як захиститися?

Відразу варто сказати, зараз всі антивірусні лабораторії взялися за аналіз цього трояна. Якщо безпосередньо шукати інформацію з видалення вірусу, її, як такий, немає. Відкинемо відразу стандартні поради – зробіть бекап системи, точку повернення, видаліть такі файли. Якщо у вас немає збережень, то все інше не працює, хакери такі моменти через специфікацію вірусу продумали.

Я думаю, протягом швидкого часу будуть розповсюджені створені любителями дешифратори для Bad Rabbit - вестися на ці програми або ні - ваша особиста справа. Як показав минулий шифрувальник Petya, це мало кому допомагає.

А ось попередити загрозу та видалити її при спробі залізти у ПК можна. Першими на повідомлення про вірусну епідемію відреагували лабораторії Kaspersky та ESET, які вже зараз блокують спроби проникнення. Браузер Google Chrome також почав виявляти заражені ресурси та попереджати про їхню небезпеку. Ось що потрібно зробити для захисту від BadRabbit насамперед:

  1. Якщо ви використовуєте для захисту Касперський, ESET, Dr.Web, або інші популярні аналоги, необхідно обов'язково виконати оновлення баз даних. Також, для Касперського необхідно включити "Моніторинг активності" (System Watcher), а ESET застосуйте сигнатури з оновленням 16295.

  2. Якщо ви не користуєтесь антивірусами, тоді необхідно заблокувати виконання файлів C:\Windows\infpub.datі C:\Windows\cscc.dat. Робиться це через редактор групових політик, або програму AppLocker для Windows.

    3. Бажано заборонити виконання служби – Windows Management Instrumentation (WMI). У десятці служба називається “Інструментарій управління Windows. Через праву кнопкуувійдіть у властивості служби та виберіть у "Тип запуску"режим "Відключена".

  3. Обов'язково зробіть резервну копіювашої системи. За ідеєю, копія повинна завжди зберігатися на носії, що підключається. Ось невелика відео-інструкція щодо її створення.

    4. Висновок

    На завершення варто сказати найголовніше – не варто платити викуп, щоб у вас не було зашифровано. Такі дії лише підбурюють шахраїв створювати нові вірусні атаки. Слідкуйте за форумами антивірусних компаній, які, я сподіваюся, незабаром вивчать вірус Bad Rabbit і знайдуть ефективну таблетку. Обов'язково виконайте вищезазначені пункти захисту вашої ОС. У разі складнощів у їх виконанні, відпишіться у коментарях.

 

 
Це цікаво: