Rossz nyúl hogyan történik a fertőzés. Hogyan működik a Bad Rabbit ransomware, és van-e kapcsolat a NotPetya-val. Bad Rabbit – Ki szenvedett már el, és mennyi pénzre van szükség

Tegnap, 2017. október 24-én a nagy orosz média, valamint az ismeretlen támadók számos ukrán állami intézménye. Az áldozatok között volt az Interfax, a Fontanka és még legalább egy meg nem nevezett internetes kiadvány. A média nyomán az odesszai nemzetközi repülőtér, a kijevi metró és az ukrán infrastrukturális minisztérium is beszámolt a problémákról. Az IB-csoport elemzői szerint a bűnözők banki infrastruktúrákat is megpróbáltak megtámadni, de ezek a kísérletek nem jártak sikerrel. Az ESET szakértői viszont azt állítják, hogy a támadások bolgár, török ​​és japán felhasználókat érintettek.

Mint kiderült, a cégek és kormányzati szervek munkájában bekövetkezett fennakadásokat nem a hatalmas DDoS támadások okozták, hanem a Bad Rabbit nevű zsarolóprogram (egyes szakértők inkább szóköz nélkül írják a BadRabbit szót).

A rosszindulatú programokról és mechanizmusairól tegnap keveset lehetett tudni: a hírek szerint a zsarolóprogram 0,05 bitcoint követel, a Group-IB szakértői szerint pedig több napja készült a támadás. Például két JS-szkriptet találtak a kiberbûnözõk honlapján, és a szerver információiból ítélve az egyiket 2017. október 19-én frissítették.

Most, bár még egy nap sem telt el a támadások kezdete óta, a ransomware elemzését már elvégezte a világ szinte valamennyi vezető információbiztonsági cégének szakértője. Tehát mi az a Bad Rabbit, és számíthatunk-e új ransomware-járványra, mint a WannaCry vagy a NotPetya?

Hogyan okozott fennakadást a Bad Rabbit a nagyobb médiában, amikor hamis Flash-frissítésekről volt szó? Alapján ESET , Emsisoftés Fox-IT, a fertőzés után a kártevő a Mimikatz segédprogramot használta a jelszavak LSASS-ból való kinyerésére, valamint a leggyakoribb bejelentkezési és jelszavak listája is volt. A kártevő mindezt arra használta fel, hogy SMB-n és WebDAV-on keresztül a fertőzött eszközzel azonos hálózaton lévő többi szerverre, munkaállomásra is elterjedjen. A fenti cégek szakértői és a Cisco Talos alkalmazottai ugyanakkor úgy vélik, hogy ebben az esetben egy speciális szolgálatoktól ellopott, az SMB-ben lyukakat használó szerszám nélkül jártak el. Hadd emlékeztesselek erre WannaCry vírusokés a NotPetya ezzel a bizonyos kihasználással került terjesztésre.

A szakértőknek azonban sikerült találniuk néhány hasonlóságot Bad Rabbit és Petya (NotPetya) között. Például a ransomware nemcsak titkosítja a felhasználói fájlokat a nyílt forráskódú DiskCryptor segítségével, hanem módosítja az MBR-t (Master Boot Record), majd újraindítja a számítógépet, és megjelenít egy váltságdíjat.

Bár a kiberbűnözők követeléseinek üzenete szinte megegyezik a NotPetya üzemeltetőinek üzenetével, a szakértők véleménye a Bad Rabbit és a NotPetya kapcsolatáról némileg eltér. Például az Intezer elemzői ezt számolták ki forrás rosszindulatú

Üdvözöllek benneteket, kedves látogatók és a blog vendégei! Ma egy újabb ransomware vírus jelent meg a világon a következő néven: Rossz nyúl» — « Gonosz nyúl". Ez már a harmadik szenzációs ransomware 2017-ben. Az előzőek is voltak (alias NotPetya).

Bad Rabbit – Ki szenvedett már el, és mennyi pénzre van szükség?

Eddig feltehetően több orosz média is szenvedett ettől a zsarolóvírustól – köztük az Interfax és a Fontanka. Egy hackertámadásról is – valószínűleg ugyanahhoz a Bad Rabbithez köthető – jelenti az odesszai repülőtér.

A fájlok visszafejtéséhez a támadók 0,05 bitcoint követelnek, ami a jelenlegi árfolyamon körülbelül 283 dollárnak vagy 15 700 rubelnek felel meg.

A Kaspersky Lab kutatásának eredményei azt mutatják, hogy a támadás során nem használnak kizsákmányolást. A Bad Rabbit fertőzött webhelyeken keresztül terjed: a felhasználók hamis telepítőt töltenek le Adobe Flash, manuálisan indítsa el, és ezzel megfertőzze számítógépét.

A Kaspersky Lab szerint szakértők vizsgálják ezt a támadást, és keresik a leküzdési módokat, valamint keresik a ransomware által érintett fájlok visszafejtésének módját.

A támadás legtöbb áldozata Oroszországban van. Az is ismert, hogy Ukrajnában, Törökországban és Németországban is előfordulnak hasonló támadások, de jóval kisebb számban. Titkosírás szakértő Rossz nyúl számos fertőzött orosz médiaoldalon keresztül terjed.

A Kapersky's Laboratory úgy véli, hogy minden jel arra utal, hogy ez egy célzott támadás vállalati hálózatok... A használt módszerek hasonlóak az ExPetr támadásnál megfigyeltekhez, de nem tudjuk megerősíteni az ExPetr-rel való kapcsolatot.

Az már ismert, hogy a Kaspersky Lab termékei felhőszolgáltatás segítségével észlelik a rosszindulatú programok egyik összetevőjét. Kaspersky Security Hálózat UDS-ként: DangerousObject.Multi.Generic, valamint a System Watcher használata PDM-ként: Trojan.Win32.Generic.

Hogyan védekezhet a Bad Rabbit vírus ellen?

Hogy ne essünk áldozatul az új Bad Rabbit járványnak, Kaspersky Lab»Azt javasoljuk, hogy tegye a következőket:

Ha telepítve van a Kaspersky Anti-Virus, akkor:

• Ellenőrizze, hogy a Kaspersky Security Network és a System Watcher (más néven System Watcher) összetevők engedélyezve vannak-e a biztonsági megoldásban. Ha nem, feltétlenül kapcsolja be.

Azok számára, akik nem rendelkeznek ezzel a termékkel:

• Blokkolja a c: \ windows \ infpub.dat, C: \ Windows \ cscc.dat fájl végrehajtását. Ezt keresztül lehet tenni.
• Tiltsa le (ha lehetséges) a WMI szolgáltatás használatát.

Még egy nagyon fontos tipp tőlem:

Mindig csináld biztonsági mentés (mentés - biztonsági mentés ) az Ön számára fontos fájlokat. Cserélhető adathordozón, be felhőszolgáltatások! Megspórolja idegeit, pénzt és időt!

Kívánom, hogy ne kapja el ezt a fertőzést a számítógépén. Tiszta és biztonságos internet az Ön számára!

A Kaspersky Lab szerint a ransomware vírusok harmadik hullámának hírnöke lehet. Az első kettő a szenzációs WannaCry és Petya (más néven NotPetya) volt. Kiberbiztonsági szakértők meséltek a MIR 24-nek egy új hálózati rosszindulatú program megjelenéséről, és arról, hogyan lehet védekezni az erőteljes támadása ellen.

A Bad Rabbit támadás áldozatainak többsége Oroszországban van. Lényegesen kevesebb van belőlük Ukrajna, Törökország és Németország területén – jegyezte meg a Kaspersky Lab víruskereső kutatási osztályának vezetője. Vjacseszlav Zakorzsevszkij... A második legaktívabb országok valószínűleg azok voltak, ahol a felhasználók aktívan követik az orosz internetes forrásokat.

Amikor a rosszindulatú program megfertőz egy számítógépet, titkosítja a rajta lévő fájlokat. Terjedése feltört internetes forrásokból származó webes forgalom segítségével történik, amelyek között főként a szövetségi orosz média oldalai, valamint a kijevi metró, az ukrán infrastrukturális minisztérium és az odesszai nemzetközi repülőtér számítógépei és szerverei voltak. Egy sikertelen kísérletet is rögzítettek az orosz bankok megtámadására a legjobb 20 közül.

Arról, hogy a Fontankát, az Interfaxot és számos más kiadványt megtámadta a Bad Rabbit, tegnap az IB-csoport számolt be – erre szakosodott. információ biztonság... A víruskód elemzése azt mutatta A Bad Rabbit a Not Petya ransomware-hez kapcsolódik, amely júniusban ebben az évben megtámadták az ukrajnai energetikai, távközlési és pénzügyi vállalatokat.

A támadásra több napig készültek, és a fertőzés mértéke ellenére a ransomware viszonylag kis összeget követelt a támadás áldozataitól - 0,05 bitcoint (ez körülbelül 283 dollár vagy 15 700 rubel). A váltságdíj 48 órája lesz. Ezen időszak lejárta után az összeg növekszik.

A Group-IB szakértői úgy vélik, hogy a hackerek valószínűleg nem akarnak pénzt keresni. Valószínű céljuk a vállalatok, kormányzati szervek és magánvállalatok kritikus infrastruktúra-hálózatainak védelmi szintjének tesztelése.

Könnyű támadás áldozatává válni

Amikor egy felhasználó meglátogat egy fertőzött webhelyet, rosszindulatú kód információkat küld róla egy távoli szervernek. Ezután megjelenik egy felugró ablak, amely a frissítés letöltését kéri Flash player ami hamis. Ha a felhasználó jóváhagyta a "Telepítés / Telepítés" műveletet, egy fájl letöltésre kerül a számítógépre, amely viszont elindítja a Win32 / Filecoder.D titkosítót a rendszerben. Továbbá a dokumentumokhoz való hozzáférés blokkolva lesz, a képernyőn egy váltságdíj üzenet jelenik meg.

A Bad Rabbit vírus nyitott-e a hálózaton hálózati erőforrások, ami után elindít egy hitelesítő adatokat gyűjtő eszközt a fertőzött gépen, és ez a "viselkedés" eltér elődeitől.

Az Eset NOD 32 nemzetközi vírusirtó szoftverfejlesztő szakértői megerősítették, hogy a Bad Rabbit a Petya vírus új módosítása, amelynek elve ugyanaz volt - a vírus titkosította az információkat, és váltságdíjat követelt bitcoinban (az összeg a Bad Rabbitéhoz volt hasonlítható - 300 dollár). Az új kártevő javítja a fájltitkosítási hibákat. A vírusban használt kódot titkosításra tervezték logikai meghajtók, külső USB meghajtókés CD/DVD képek, valamint indítható rendszerpartíciók korong.

A Bad Rabbit támadások által megcélzott közönségről szólva az ESET Oroszország értékesítési támogatási vezetője Vitalij Zemskikh kijelentette, hogy a támadások 65%-a megállt víruskereső termékek cégek Oroszországban találhatók. Egyébként az új vírus földrajzi elhelyezkedése így néz ki:

Ukrajna - 12,2%

Bulgária - 10,2%

Törökország - 6,4%

Japán - 3,8%

mások - 2,4%

„A ransomware a jól ismert szoftver Val vel nyílt forráskód a DiskCryptor nevű program az áldozat lemezeinek titkosítására. A felhasználó által látható zárolási üzenet képernyő szinte megegyezik a Petya és NotPetya zárolási képernyővel. Azonban ez az egyetlen hasonlóság, amit eddig megfigyeltünk a két rosszindulatú program között. Minden más szempontból a BadRabbit egy teljesen új és egyedi típusú zsarolóvírus” – mondja a Check Point Software Technologies műszaki igazgatója. Nyikita Durov.

Hogyan védekezhet a Bad Rabbit ellen?

A Windowson kívüli operációs rendszerek tulajdonosai fellélegezhetnek, mivel új ransomware vírus csak az ezzel a "tengellyel" rendelkező számítógépeket teszi sebezhetővé.

A hálózati kártevők elleni védelem érdekében a szakértők azt javasolják, hogy hozzon létre egy C: \ windows \ infpub.dat fájlt a számítógépén, miközben állítsa be a csak olvasási jogokat - ezt az adminisztrációs részben egyszerűen megteheti. Így blokkolja a fájl végrehajtását, és az összes kívülről érkező dokumentum akkor sem lesz titkosítva, ha megfertőződik. Annak érdekében, hogy ne veszítsenek el értékes adatok vírusfertőzés esetén, készítsen biztonsági másolatot (mentést) most. És persze érdemes észben tartani, hogy a váltságdíj kifizetése olyan csapda, amely nem garantálja, hogy feloldja a számítógép zárolását.

Emlékeztetünk, a vírus idén májusban a világ legalább 150 országára terjedt el. Titkosított információkat, és váltságdíjat követelt különböző források szerint 300-600 dollár között. Több mint 200 ezer felhasználó szenvedett tőle. Az egyik változat szerint alkotói vettek alapul rosszindulatú US NSA Eternal Blue.

Alla Smirnova szakértőkkel beszélt

Bad Rabbit vagy Diskcoder ransomware D. Elindítja a nagy és közepes méretű szervezetek vállalati hálózatait, blokkolva az összes hálózatot.

A Bad Rabbit vagy "bad rabbit" aligha nevezhető úttörőnek – megelőzte a Petya és a WannaCry zsarolóvírus.

Bad Rabbit – milyen vírus

Az új vírus terjedését az ESET vírusirtó cég szakértői vizsgálták, és megállapították, hogy a Bad Rabbit az Adobe Flash böngészőre való frissítésének leple alatt behatolt az áldozatok számítógépeibe.

A vírusirtó cég úgy véli, hogy a Bad Rabbit névre keresztelt Win32 / Diskcoder.D a Win32 / Diskcoder.C, ismertebb nevén Petya / NotPetya módosított változata, amely júniusban több országban került be a szervezetek informatikai rendszerébe. A Bad Rabbit és a NotPetya közötti asszociációt egyezések jelzik a kódban.

A támadás a Mimikatz programot használja, amely elfogja a bejelentkezéseket és jelszavakat a fertőzött gépen. A kódban már vannak regisztrált bejelentkezési adatok és jelszavak az adminisztrátori hozzáférés megszerzéséhez.

Az új rosszindulatú program a fájltitkosítási hibákat javítja – a vírusban használt kód logikai meghajtók, külső USB-meghajtók és CD/DVD-képfájlok, valamint rendszerindító lemezpartíciók titkosítására szolgál. A dekódolás szakértőinek tehát sok időt kell tölteniük, hogy felfedjék a Bad Rabbit vírus titkát, mondják a szakértők.

Az új vírus a szakértők szerint a titkosítási szolgáltatók számára szabványos séma szerint működik - a rendszerbe senki sem tudja, honnan kerülve olyan fájlokat kódol, amelyek visszafejtésére a hackerek bitcoinban követelnek váltságdíjat.

Egy számítógép feloldása 0,05 bitcoinba kerül, ami a jelenlegi árfolyamon körülbelül 283 dollár. A váltságdíj kifizetése esetén a csalók egy speciális kulcskódot küldenek, amely visszaállítja a rendszer normál működését, és nem veszít el mindent.

Ha a felhasználó nem utal át pénzt 48 órán belül, a váltságdíj növekedni fog.

Nem szabad azonban elfelejteni, hogy a váltságdíj kifizetése olyan csapda lehet, amely nem garantálja a számítógép feloldását.

Az ESET megjegyzi, hogy a rosszindulatú program jelenleg társítva van távoli szerver hiányzó.

A vírus leginkább az orosz felhasználókat, kisebb mértékben a németországi, törökországi és ukrajnai cégeket sújtotta. A terjedés fertőzött médián keresztül történt. Az ismert fertőzött oldalakat már blokkolták.

Az ESET úgy véli, hogy a támadási statisztikák szorosan megegyeznek a rosszindulatú JavaScriptet tartalmazó webhelyek földrajzi eloszlásával.

Hogyan védje meg magát

A kiberbűnözés megelőzésével és kivizsgálásával foglalkozó Group-IB cég szakemberei ajánlásokat adtak a Bad Rabbit vírus elleni védekezésre.

Különösen a hálózati kártevők elleni védelem érdekében létre kell hoznia a C: \ windows \ infpub.dat fájlt a számítógépén, és az adminisztrációs részben be kell állítania a csak olvasási jogokat.

Ezzel a művelettel a fájl végrehajtása blokkolva lesz, és a kívülről érkező dokumentumok nem lesznek titkosítva, még akkor sem, ha megfertőződnek. Minden értékes adatról biztonsági másolatot kell készíteni, hogy fertőzés esetén ne vesszen el.

A Group-IB szakértői javasolják az IP-címek blokkolását és domain nevek ahonnan rosszindulatú fájlokat terjesztettek, előugró ablakokat blokkolókat állítson be a felhasználóknak.

Javasoljuk továbbá a számítógépek gyors elkülönítését a behatolásészlelő rendszerben. A PC-felhasználóknak ellenőrizniük kell a relevanciáját és integritását is biztonsági mentések kulcsfontosságú hálózati csomópontok és frissíti az operációs rendszereket és a biztonsági rendszereket.

"A jelszópolitikával kapcsolatban: beállítások csoportszabályzat nem engedélyezi a jelszavak tárolását az LSA Dump-ban tiszta szövegben. Cserélje le az összes jelszót összetettre” – tette hozzá a cég.

Elődök

2017 májusában a WannaCry vírus a világ legalább 150 országában terjedt el. Titkosított információkat, és váltságdíjat követelt különböző források szerint 300-600 dollár között.

Több mint 200 ezer felhasználó szenvedett tőle. Az egyik verzió szerint készítői az amerikai NSA Eternal Blue malware-jét vették alapul.

A Petya ransomware vírus június 27-i globális támadása a világ több országában érte a cégek informatikai rendszerét, leginkább Ukrajnát érintve.

Olaj-, energia-, távközlési, gyógyszeripari cégek és kormányzati szervek számítógépeit támadták meg. Az ukrán kiberrendőrség közölte, hogy a ransomware támadást a M.E.doc programon keresztül hajtották végre.

Nyílt források alapján készült anyag

Idén október végét egy új vírus megjelenése jellemezte, amely aktívan támadta a vállalati és otthoni felhasználók számítógépeit. Az új vírus a Bad Rabbit nevű zsarolóprogram, ami azt jelenti, hogy rossz nyúl. Ez a vírus több orosz alap weboldalát támadta meg. tömegmédia... Később a vírust az ukrán vállalatok információs hálózataiban találták meg. Megtámadták információs hálózatok metró, különböző minisztériumok, nemzetközi repülőterek és így tovább. Kicsit később hasonló vírustámadást figyeltek meg Németországban és Törökországban, bár aktivitása lényegesen alacsonyabb volt, mint Ukrajnában és Oroszországban.

A rosszindulatú vírus egy speciális beépülő modul, amely a számítógépbe való belépés után titkosítja a fájljait. Az információk titkosítása után a támadók megpróbálnak jutalmat kérni a felhasználóktól adataik visszafejtése miatt.

A vírus terjedése

Az ESET víruskereső szoftverlaboratóriumának szakértői elemezték a vírus terjedési útvonalának algoritmusát, és arra a következtetésre jutottak, hogy egy módosított vírusról van szó, amely nemrégiben a Petya vírushoz hasonlóan terjedt el.

Az ESET laboratóriumi szakemberei kiszámították, hogy a rosszindulatú beépülő modulok terjesztése az 1dnscontrol.com erőforrásból és az IP5.61.37.209 IP-címről történt. Számos más erőforrás is társítva van ehhez a tartományhoz és IP-címhez, például a secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.

Szakértők azt vizsgálták, hogy ezeknek az oldalaknak a tulajdonosai számos különféle forrást regisztráltak, például, amelyeken keresztül spam levelek segítségével hamisított gyógyszereket próbálnak eladni. Az ESET szakértői nem zárják ki, hogy ezeknek az erőforrásoknak a segítségével, kéretlen levelekkel és adathalászattal hajtották végre a fő kibertámadást.

Hogyan működik a Bad Rabbit vírusfertőzés

A számítógépes kriminalisztikai laboratórium azt vizsgálta, hogyan került a vírus a felhasználók számítógépére. Kiderült, hogy a legtöbb esetben a Bad Rabbit ransomware vírust az Adobe Flash frissítéseként terjesztették. Vagyis a vírus nem használt ki semmilyen sebezhetőséget. operációs rendszer, de maguk a felhasználók telepítették, akik tudtukon kívül jóváhagyták a telepítést, arra gondolva, hogy az Adobe Flash bővítményt frissítik. Amikor a vírus bejutott helyi hálózat, ellopta a bejelentkezési adatokat és jelszavakat a memóriából, és átterjedt más számítógépes rendszerekre.

Hogyan zsarolnak ki pénzt a hackerek

Miután a ransomware vírus telepítésre került a számítógépre, titkosítja a tárolt információkat. Ezután a felhasználók egy üzenetet kapnak, amely szerint ahhoz, hogy hozzáférhessenek adataikhoz, fizetniük kell a darkneten a megadott oldalon. Ehhez először telepítenie kell egy speciális Tor böngésző... A számítógép feloldásáért a kiberbûnözõk 0,05 bitcoint zsarolnak ki. A mai naptól kezdve 1 Bitcoin 5600 dolláros áron nagyjából 280 dollárt jelent a számítógép feloldásához. A fizetés teljesítéséhez a felhasználó 48 óra időtartamot kap. Ezen időszak lejárta után, ha a szükséges összeget nem utalták át a támadó elektronikus számlájára, az összeg megemelkedik.

Hogyan védekezhet a vírus ellen

1. Hogy megvédje magát a fertőzéstől Rossz vírus A Rabbitnek le kell tiltania a hozzáférést az információs környezetből a fenti tartományokhoz.
2. Otthoni felhasználóknak frissítenie kell az aktuálisat Windows verziók valamint víruskereső szoftver... Ebben az esetben a rosszindulatú fájlt ransomware vírusként észleli, ami kizárja annak lehetőségét, hogy telepítse a számítógépre.
3. Azok a felhasználók, akik az operációs rendszer beépített víruskeresőjét használják Windows rendszerek már rendelkezik védelemmel ezekkel a zsarolóvírusokkal szemben. ben valósul meg Windows alkalmazás Defender Antivirus.
4. A Kaspersky Lab víruskereső programjának fejlesztői azt tanácsolják minden felhasználónak, hogy rendszeresen készítsen biztonsági másolatot adatairól. Ezenkívül a szakértők azt javasolják, hogy blokkolják a c: \ windows \ infpub.dat, c: \ WINDOWS \ cscc.dat fájlok végrehajtását, és ha lehetséges, tiltsák le a WMI szolgáltatás használatát.

Következtetés

Minden számítógép-felhasználónak emlékeznie kell arra, hogy a hálózaton végzett munka során a kiberbiztonságnak kell az első helyen állnia. Ezért mindig ellenőriznie kell a csak bizonyított használatát információs forrásokés óvatosan használja emailés közösségi hálózatok... Ezeken az erőforrásokon keresztül terjednek leggyakrabban a különféle vírusok. Elemi szabályok Az információs környezetben való viselkedés megszünteti a vírustámadás során felmerülő problémákat.