Contactos
casa

Mal conejo cómo se produce la infección. Cómo funciona el ransomware Bad Rabbit, y si hay un enlace a NotPetya. Bad Rabbit - Quién ya ha sufrido y cuánto dinero requiere

Ayer, 24 de octubre de 2017, los principales medios de comunicación rusos, así como varias agencias gubernamentales de Ucrania, intrusos desconocidos. Interfax, Fontanka y al menos otra publicación en línea no identificada se encontraban entre las víctimas. Siguiendo a los medios, los problemas también fueron informados por el Aeropuerto Internacional de Odessa, el Metro de Kiev y el Ministerio de Infraestructura de Ucrania. Según los analistas de Group-IB, los delincuentes también intentaron atacar las infraestructuras bancarias, pero estos intentos no tuvieron éxito. Los especialistas de ESET, por su parte, afirman que los ataques afectaron a usuarios de Bulgaria, Turquía y Japón.

Al final resultó que, las interrupciones en el trabajo de las empresas y agencias gubernamentales no fueron causadas por ataques DDoS masivos, sino por un ransomware que se conoce con el nombre de Bad Rabbit (algunos expertos prefieren escribir BadRabbit sin espacios).

Ayer se sabía poco sobre el malware y cómo funciona: se informó que el ransomware exigía un rescate de 0,05 bitcoin, y los expertos de Group-IB dijeron que el ataque se había estado preparando durante varios días. Entonces, se encontraron dos scripts JS en el sitio de los atacantes y, a juzgar por la información del servidor, uno de ellos se actualizó el 19 de octubre de 2017.

Ahora, aunque ha pasado menos de un día desde que comenzaron los ataques, expertos de casi todas las principales empresas de seguridad informática del mundo ya han analizado el ransomware. Entonces, ¿qué es Bad Rabbit? ¿Deberíamos esperar una nueva "epidemia de ransomware" como WannaCry o NotPetya?

¿Cómo se las arregló Bad Rabbit para interrumpir los principales medios de comunicación si se trataba de actualizaciones falsas de Flash? De acuerdo a ESET , Emsisoft y Zorro TI, después de la infección, el malware usó la utilidad Mimikatz para extraer contraseñas de LSASS y también tenía una lista de los inicios de sesión y contraseñas más comunes. El malware utilizó todo esto para propagarse a través de SMB y WebDAV a otros servidores y estaciones de trabajo ubicados en la misma red que el dispositivo infectado. Al mismo tiempo, los expertos de las empresas mencionadas anteriormente y los empleados de Cisco Talos creen que en este caso no se robó ninguna herramienta de los servicios especiales que utilizan brechas en SMB. Déjame recordarte que virus WannaCry y NotPetya se distribuyeron utilizando este exploit en particular.

Sin embargo, los expertos lograron encontrar algunas similitudes entre Bad Rabbit y Petya (NotPetya). Por lo tanto, el ransomware no solo encripta los archivos del usuario usando el DiskCryptor de código abierto, sino que modifica el MBR (Master Boot Record), después de lo cual reinicia la computadora y muestra un mensaje de rescate en la pantalla.

Aunque el mensaje de demanda del atacante es casi idéntico al de los operadores de NotPetya, los expertos difieren ligeramente en la conexión entre Bad Rabbit y NotPetya. Así, los analistas de Intezer calcularon que fuente malware

¡Saludos, queridos visitantes e invitados de este blog! Hoy, otro virus ransomware ha aparecido en el mundo con el nombre: conejo malo» — « conejo malvado". Este ya es el tercer ransomware sensacional de 2017. Los anteriores fueron (también conocido como NotPetya).

Bad Rabbit - ¿Quién ya ha sufrido y cuánto dinero requiere?

Hasta ahora, varios medios rusos supuestamente han sufrido este ransomware, entre ellos Interfax y Fontanka. También sobre un ataque de piratas informáticos, posiblemente relacionado con el mismo Bad Rabbit, informa el aeropuerto de Odessa.

Para descifrar archivos, los atacantes exigen 0,05 bitcoins, que al cambio actual equivale aproximadamente a 283 dólares o 15.700 rublos.

Los resultados del estudio de Kaspersky Lab muestran que los exploits no se utilizan en el ataque. Bad Rabbit se propaga a través de sitios web infectados: los usuarios descargan un instalador falso Adobe Flash, ejecutarlo manualmente e infectar sus equipos.

Según Kaspersky Lab, los expertos están investigando este ataque y están buscando formas de enfrentarlo, además de buscar la posibilidad de descifrar los archivos afectados por el ransomware.

La mayoría de las víctimas del ataque están en Rusia. También se sabe que se producen ataques similares en Ucrania, Turquía y Alemania, pero en cantidades mucho menores. Criptógrafo conejo malo se propaga a través de varios sitios de medios rusos infectados.

Kapersky Lab cree que todos los indicios apuntan a que se trata de un ataque dirigido a redes corporativas. Se utilizan métodos similares a los que observamos en el ataque ExPetr, pero no podemos confirmar la conexión con ExPetr.

Ya se sabe que los productos de Kaspersky Lab detectan uno de los componentes del malware mediante un servicio en la nube. seguridad kaspersky Red como UDS:DangerousObject.Multi.Generic, y también con la ayuda de System Watcher como PDM:Trojan.Win32.Generic.

¿Cómo protegerse del virus Bad Rabbit?

Para no ser víctima de una nueva epidemia de "Bad Bunny", " Laboratorio Kaspersky» Recomendamos hacer lo siguiente:

Si tiene Kaspersky Anti-Virus instalado, entonces:

  • Compruebe si los componentes de Kaspersky Security Network y Activity Monitor (también conocido como System Watcher) están habilitados en su solución de seguridad. Si no, asegúrese de encenderlo.

Para los que no tienen este producto:

  • Bloquea la ejecución del archivo c:\windows\infpub.dat, C:\Windows\cscc.dat. Esto se puede hacer a través de .
  • Deshabilite (si es posible) el uso del servicio WMI.

Otro consejo muy importante de mi parte:

Siempre haga respaldo (copia de seguridad - copia de seguridad ) archivos que son importantes para usted. En medios extraíbles, servicios en la nube! ¡Te ahorrará nervios, dinero y tiempo!

Deseo que no se contagie de esta infección en su PC. ¡Internet limpio y seguro para ti!

Puede ser un presagio de la tercera ola de virus ransomware, según Kaspersky Lab. Los dos primeros fueron los sensacionales WannaCry y Petya (aka NotPetya). Expertos en ciberseguridad hablaron con MIR 24 sobre la aparición de un nuevo malware de red y cómo defenderse de su potente ataque.

La mayoría de las víctimas del ataque de Bad Rabbit están en Rusia. En el territorio de Ucrania, Turquía y Alemania, hay muchos menos, dijo el jefe del departamento de investigación antivirus de Kaspersky Lab. Vyacheslav Zakorzhevsky. Probablemente, los países donde los usuarios siguen activamente los recursos de Internet rusos resultaron ser los segundos más activos.

Cuando el malware infecta una computadora, cifra los archivos en ella. Se propaga a través del tráfico web desde recursos de Internet pirateados, entre los que se encuentran principalmente los sitios web de los medios federales rusos, así como computadoras y servidores del metro de Kiev, el Ministerio de Infraestructura de Ucrania y el Aeropuerto Internacional de Odessa. También se registró un intento fallido de atacar a los bancos rusos de los 20 principales.

El hecho de que Fontanka, Interfax y otras publicaciones fueran atacadas por Bad Rabbit fue denunciado ayer por Group-IB, una empresa especializada en seguridad de información. El análisis del código del virus mostró que Bad Rabbit está asociado con el ransomware Not Petya, que en junio este año atacó empresas de energía, telecomunicaciones y financieras en Ucrania.

El ataque se preparó durante varios días y, a pesar de la magnitud de la infección, el ransomware exigió cantidades relativamente pequeñas de las víctimas del ataque: 0,05 bitcoins (unos 283 dólares o 15 700 rublos). Tienes 48 horas para redimir. Después de la expiración de este período, la cantidad aumenta.

Los especialistas de Group-IB creen que lo más probable es que los piratas informáticos no tengan intención de ganar dinero. Su objetivo probable es probar el nivel de protección de las redes de infraestructura crítica de empresas, departamentos gubernamentales y empresas privadas.

Es fácil ser atacado

Cuando un usuario visita un sitio infectado, código malicioso envía información al respecto a un servidor remoto. A continuación, aparece una ventana emergente que le pide que descargue la actualización para Reproductor Flash, que es falso. Si el usuario aprobó la operación "Instalar", se descargará un archivo a la computadora, que a su vez iniciará el codificador Win32/Filecoder.D en el sistema. Además, se bloqueará el acceso a los documentos, aparecerá un mensaje de rescate en la pantalla.

El virus Bad Rabbit escanea la red para abrir recursos de red, luego de lo cual lanza una herramienta para recopilar credenciales en la máquina infectada, y este "comportamiento" difiere de sus predecesores.

Los especialistas del desarrollador internacional de software antivirus Eset NOD 32 confirmaron que Bad Rabbit es una nueva modificación del virus Petya, cuyo principio era el mismo: el virus cifraba la información y exigía un rescate en bitcoins (la cantidad era comparable a Conejo malo - $ 300). El nuevo malware corrige errores en el cifrado de archivos. El código utilizado en el virus está destinado a la encriptación. unidades lógicas, unidades USB externas e imágenes de CD/DVD, así como booteables particiones del sistema disco.

Hablando sobre la audiencia que fue atacada por Bad Rabbit, Jefe de Soporte de Ventas ESET Rusia Vitaly Zemski afirmó que el 65% de los ataques se detuvo productos antivirus Las empresas están en Rusia. El resto de la geografía del nuevo virus se ve así:

Ucrania - 12,2%

Bulgaria - 10,2%

Turquía - 6,4%

Japón - 3,8%

otros - 2.4%

"El ransomware utiliza un conocido software con fuente abierta llamado DiskCryptor para encriptar los discos de la víctima. La pantalla de mensajes de bloqueo que ve el usuario es casi idéntica a las pantallas de bloqueo de Petya y NotPetya. Sin embargo, esta es la única similitud que hemos visto hasta ahora entre los dos malware. En todos los demás aspectos, BadRabbit es un tipo de ransomware completamente nuevo y único”, dice el CTO de Check Point Software Technologies. Nikita Durov.

¿Cómo protegerse de Bad Rabbit?

Los propietarios de sistemas operativos que no sean Windows pueden respirar aliviados ya que nuevo virus ransomware hace vulnerables solo las computadoras con este "eje".

Para protegerse contra el malware de red, los expertos recomiendan crear el archivo C:\windows\infpub.dat en su computadora, mientras configura sus derechos de solo lectura; esto es fácil de hacer en la sección de administración. De esta forma, bloquearás la ejecución del archivo, y todos los documentos que vengan del exterior no serán encriptados aunque resulten infectados. Para no perder datos valiosos en caso de infección con un virus, haga una copia de seguridad (copia de seguridad) ahora. Y, por supuesto, vale la pena recordar que pagar un rescate es una trampa que no te garantiza desbloquear tu computadora.

Recordemos que el virus en mayo de este año se extendió a por lo menos 150 países alrededor del mundo. Encriptó la información y exigió pagar un rescate, según diversas fuentes, de 300 a 600 dólares. Más de 200 mil usuarios la padecieron. Según una versión, sus creadores tomaron como base malware Azul eterno de la NSA de EE. UU.

Alla Smirnova habló con expertos

Virus de encriptación Bad Rabbit o Diskcoder.D. ataca las redes corporativas de organizaciones grandes y medianas, bloqueando todas las redes.

Bad Rabbit o "bad rabbit" difícilmente puede llamarse pionero: fue precedido por los virus de encriptación Petya y WannaCry.

Bad Rabbit: qué tipo de virus

El esquema de distribución del nuevo virus fue investigado por expertos de la compañía de antivirus ESET y descubrieron que Bad Rabbit penetró en las computadoras de las víctimas bajo la apariencia de una actualización de Adobe Flash para el navegador.

La compañía antivirus cree que el codificador Win32/Diskcoder.D, denominado Bad Rabbit, es una versión modificada de Win32/Diskcoder.C, más conocido como Petya/NotPetya, que llegó a los sistemas de TI de organizaciones en varios países en junio. La conexión entre Bad Rabbit y NotPetya está indicada por coincidencias en el código.

El ataque utiliza el programa Mimikatz, que intercepta inicios de sesión y contraseñas en la máquina infectada. Además, en el código ya hay nombres de usuario y contraseñas registrados para intentar obtener acceso administrativo.

El nuevo malware corrige errores en el cifrado de archivos: el código utilizado en el virus está diseñado para cifrar unidades lógicas, unidades USB externas e imágenes de CD/DVD, así como particiones de disco del sistema de arranque. Por lo tanto, los expertos en descifrado tendrán que pasar mucho tiempo para descubrir el secreto del virus Bad Rabbit, dicen los expertos.

El nuevo virus, según los expertos, funciona de acuerdo con el esquema estándar para los criptógrafos: ingresa al sistema de la nada, codifica archivos, para cuyo descifrado los piratas informáticos exigen un rescate en bitcoins.

Desbloquear una computadora costará 0,05 bitcoins, lo que equivale a unos 283 dólares a la tasa actual. Si se paga el rescate, los estafadores enviarán un código clave especial que le permitirá restaurar el funcionamiento normal del sistema y no perderlo todo.

Si el usuario no transfiere fondos dentro de las 48 horas, el monto del rescate aumentará.

Pero vale la pena recordar que pagar el rescate puede ser una trampa que no garantiza desbloquear la computadora.

ESET señala que el malware está actualmente asociado con servidor remoto está ausente.

El virus afectó más a los usuarios rusos y, en menor medida, a las empresas de Alemania, Turquía y Ucrania. La propagación se produjo a través de medios infectados. Los sitios infectados conocidos ya están bloqueados.

ESET cree que las estadísticas de ataques son en gran medida consistentes con la distribución geográfica de los sitios que contienen JavaScript malicioso.

Cómo protegerse

Los expertos de Group-IB, que se dedica a la prevención e investigación del delito cibernético, dieron recomendaciones sobre cómo protegerse del virus Bad Rabbit.

En particular, para protegerse contra una plaga de la red, debe crear un archivo C:\windows\infpub.dat en su computadora y establecer derechos de solo lectura en la sección de administración.

Esta acción bloqueará la ejecución del archivo y todos los documentos que provengan del exterior no se cifrarán, incluso si están infectados. Debe crear una copia de seguridad de todos los datos valiosos para que, en caso de infección, no los pierda.

Los expertos de Group-IB también aconsejan bloquear direcciones IP y nombres de dominio desde el que se distribuyeron archivos maliciosos, colocar bloqueadores de ventanas emergentes en los usuarios.

También le recomendamos que aísle rápidamente las computadoras en un sistema de detección de intrusos. Los usuarios de PC también deben verificar la relevancia e integridad de copias de seguridad nodos clave de la red y actualización de sistemas operativos y sistemas de seguridad.

"En términos de política de contraseñas: configuración política de grupo prohibir el almacenamiento de contraseñas en LSA Dump en texto claro. Cambie todas las contraseñas a complejas", agregó la compañía.

antecesores

El virus WannaCry en mayo de 2017 se propagó a al menos 150 países de todo el mundo. Encriptó la información y exigió pagar un rescate, según diversas fuentes, de 300 a 600 dólares.

Más de 200 mil usuarios la padecieron. Según una versión, sus creadores tomaron como base el malware Eternal Blue de la NSA de EE. UU.

El ataque global del virus ransomware Petya el 27 de junio golpeó los sistemas informáticos de empresas en varios países del mundo, afectando en mayor medida a Ucrania.

Las computadoras de empresas petroleras, energéticas, de telecomunicaciones, farmacéuticas, así como agencias gubernamentales fueron atacadas. La policía cibernética de Ucrania declaró que el ataque del virus ransomware ocurrió a través del programa "M.E.doc".

Material preparado sobre la base de fuentes abiertas.

El final de octubre de este año estuvo marcado por la aparición de un nuevo virus que atacó activamente las computadoras de los usuarios corporativos y domésticos. El nuevo virus es un ransomware y se llama Bad Rabbit, que significa conejo malo. Con la ayuda de este virus, los sitios web de varios fondos rusos fueron atacados. medios de comunicación en masa. Más tarde, el virus también se encontró en las redes de información de las empresas ucranianas. fueron atacados redes de información metro, varios ministerios, aeropuertos internacionales y más. Un poco más tarde, se observó un ataque de virus similar en Alemania y Turquía, aunque su actividad fue significativamente menor que en Ucrania y Rusia.

Un virus malicioso es un complemento especial que, después de ingresar a una computadora, encripta sus archivos. Una vez que se ha cifrado la información, los atacantes intentan obtener recompensas de los usuarios por descifrar sus datos.

Propagación del virus

Los expertos del laboratorio de desarrollo de software antivirus de ESET analizaron el algoritmo de la ruta de propagación del virus y llegaron a la conclusión de que se trata de un virus modificado que recientemente se propagó como el virus Petya.

Los expertos del laboratorio de ESET han calculado que los complementos maliciosos se distribuyeron desde el recurso 1dnscontrol.com y la dirección IP IP5.61.37.209. Varios recursos más también están asociados con este dominio e IP, incluidos secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.

Los especialistas investigaron que los propietarios de estos sitios registraron muchos recursos diferentes, por ejemplo, aquellos a través de los cuales, con la ayuda de envíos de spam, intentan vender medicamentos falsificados. Los especialistas de ESET no descartan que fue con la ayuda de estos recursos, utilizando spam y phishing, que se llevó a cabo el ciberataque principal.

¿Cómo se infecta el virus Bad Rabbit?

Especialistas del laboratorio de informática forense investigaron cómo llegó el virus a los equipos de los usuarios. Se descubrió que, en la mayoría de los casos, el virus ransomware Bad Rabbit se distribuía como una actualización de Adobe Flash. Es decir, el virus no explotó ninguna vulnerabilidad. Sistema operativo, pero fue instalado por los propios usuarios, quienes desconociendo esto aprobaron su instalación, pensando que estaban actualizando el plugin de Adobe Flash. Cuando entró el virus red local, robó nombres de usuario y contraseñas de la memoria y se propagó de forma independiente a otros sistemas informáticos.

Cómo los piratas informáticos extorsionan dinero

Una vez que el virus ransomware se ha instalado en la computadora, cifra la información almacenada. A continuación, los usuarios reciben un mensaje que indica que, para acceder a sus datos, deben realizar un pago en el sitio web oscuro especificado. Para hacer esto, primero necesita instalar un especial Navegador Tor. Por el hecho de que la computadora se desbloqueará, los atacantes extorsionan el pago por la cantidad de 0,05 bitcoins. Hoy, a un precio de $5600 por 1 Bitcoin, esto es aproximadamente $280 por desbloquear una computadora. Para realizar un pago, el usuario dispone de un plazo de 48 horas. Después de este período, si la cantidad requerida no se ha transferido a la cuenta electrónica del atacante, la cantidad aumenta.

Cómo protegerse del virus

  1. Para protegerse de infecciones virus malo Rabbit debería bloquear el acceso desde el entorno de información a los dominios anteriores.
  2. Para los usuarios domésticos, debe actualizar el actual Versiones de Windows así como programa antivirus. En este caso, el archivo malicioso se detectará como un virus ransomware, lo que excluirá la posibilidad de su instalación en la computadora.
  3. Aquellos usuarios que utilicen el antivirus integrado del sistema operativo sistemas Windows ya tiene protección contra este ransomware. Se implementa en aplicación de Windows Antivirus defensor.
  4. Los desarrolladores del programa antivirus de Kaspersky Lab aconsejan a todos los usuarios que realicen periódicamente una copia de seguridad de sus datos. Además, los expertos recomiendan bloquear la ejecución de los archivos c:\windows\infpub.dat, c:\WINDOWS\cscc.dat y, si es posible, deshabilitar el uso del servicio WMI.

Conclusión

Cada uno de los usuarios de computadoras debe recordar que la ciberseguridad debe ser lo primero cuando se trabaja en la red. Por lo tanto, siempre es necesario asegurarse de que solo se recursos de información y use con cuidado Email y medios de comunicación social. Es a través de estos recursos que la propagación de varios virus se lleva a cabo con mayor frecuencia. Reglas elementales comportamiento en el entorno de la información eliminará los problemas que surgen durante un ataque de virus.



¿Te gustó el artículo? Compártelo
Artículos relacionados recomendados
Donaciones en el grupo VKontakte: cómo agregar la aplicación VKontakte DonationsDonaciones en el grupo VKontakte: cómo agregar la aplicación VKontakte Donations
Alinear el contenido de la etiqueta Insertar contenido antes del contenido del objeto seleccionadoAlinear el contenido de la etiqueta Insertar contenido antes del contenido del objeto seleccionado
Corrección de errores: no se puede modificar la información del encabezado: encabezados ya enviados porCorrección de errores: no se puede modificar la información del encabezado: encabezados ya enviados por
Los visitantes ahora están discutiendo
¿Por qué los mensajes de voz no funcionan en VK? ¿Razones y qué hacer?¿Por qué los mensajes de voz no funcionan en VK? ¿Razones y qué hacer? Televisores LG
Creando un grupo VKontakteCreando un grupo VKontakte Inalámbrico
¿Por qué la cámara web no funciona en mi computadora?¿Por qué la cámara web no funciona en mi computadora? Inalámbrico
¿Por qué la cámara web no funciona en una computadora portátil?¿Por qué la cámara web no funciona en una computadora portátil? Consejos