Bad rabbit як відбувається зараження. Як працює шифрувальник Bad Rabbit, і чи є тут зв'язок з NotPetya. Bad Rabbit - Хто вже постраждав і чи багато вимагає грошей

Учора, 24 жовтня 2017 року, великі російські ЗМІ, а також низка українських держустанов невідомих зловмисників. Серед постраждалих опинилися «Інтерфакс», «Фонтанка» та як мінімум ще одне неназване інтернет-видання. Слідом за ЗМІ про проблеми також повідомили Міжнародний аеропорт "Одеса", Київський метрополітен та українське Міністерство інфраструктури. За заявою аналітиків Group-IB, злочинці також намагалися атакувати банківські інфраструктури, але ці спроби виявилися невдалими. Фахівці ESET у свою чергу стверджують, що атаки торкнулися користувачів з Болгарії, Туреччини та Японії.

Як виявилося, перебої в роботі компаній та держустанов були викликані не масовими DDoS-атаками, але шифрувальником, який носить ім'я Bad Rabbit (деякі експерти вважають за краще писати BadRabbit без пробілу).

Учора про малварі та механізми її роботи було відомо небагато: повідомлялося, що шифрувальник вимагає викуп у розмірі 0,05 біткоїну, а також експерти Group-IB розповідали, що атака готувалася кілька днів. Так, на сайті зловмисників було виявлено два JS-скрипти, і, судячи з інформації з сервера, один із них оновлювався 19 жовтня 2017 року.

Тепер, хоча не минуло й доби з початку атак, аналіз шифрувальника вже здійснили фахівці чи не всіх провідних ІБ-компаній світу. Отже, що являє собою Bad Rabbit, і чи слід очікувати на нову «вимагательську епідемію», подібну до WannaCry чи NotPetya?

Як Bad Rabbit зумів викликати перебої в роботі великих ЗМІ, якщо справа була у фальшивих оновленнях для Flash? За даними ESET , Emsisoftі Fox-ITПісля зараження шкідливість задіяв утиліту Mimikatz для вилучення паролів з LSASS, а також мав список найбільш поширених логінів і паролів. Все це шкідливість задіяв, щоб за допомогою SMB та WebDAV поширитися на інші сервери та робочі станції, що знаходяться в одній мережі із зараженим пристроєм. При цьому експерти перелічених вище компаній і співробітники Cisco Talos вважають, що в даному випадку обійшлося без вкраденого спецслужб інструменту, що використовує проломи в SMB. Нагадаю, що віруси WannaCryта NotPetya поширювалися за допомогою саме цього експлоїту.

Втім, фахівцям все ж таки вдалося виявити деяку подібність між Bad Rabbit і Petya (NotPetya). Так, здирник не просто зашифровує файли користувача, використовуючи опенсорсний DiskCryptor, але модифікує MBR (Master Boot Record), після чого перезавантажує комп'ютер і виводить на екран повідомлення з вимогою викупу.

Хоча повідомлення з вимогами зловмисників практично ідентичне посланню від операторів NotPetya, думки експертів щодо зв'язку між Bad Rabbit та NotPetya трохи розходяться. Так, аналітики компанії Intezer підрахували, що вихідний кодшкідників

Вітаю Вас, дорогі відвідувачі та гості даного блогу! Сьогодні у світі з'явився черговий вірус-шифрувальник на ім'я: « Bad Rabbit» — « Злісний кролик«. Це вже третій гучний шифрувальник за 2017 рік. Попередні були і (він же NotPetya).

Bad Rabbit — Хто вже постраждав і чи багато грошей вимагає?

Поки що, ймовірно, від цього шифрувальника постраждали кілька російських медіа - серед них Інтерфакс і Фонтанка. Також про хакерську атаку - можливо, пов'язану з тим самим Bad Rabbit, - повідомляє аеропорт Одеси.

За розшифровку файлів зловмисники вимагають 0,05 біткойна, що за сучасним курсом приблизно еквівалентно 283 доларів або 15 700 рублів.

Результати дослідження "Лабораторії Касперського" говорять про те, що в атаці не використовуються експлойти. Bad Rabbit розповсюджується через заражені веб-сайти: користувачі завантажують фальшивий установник Adobe Flash, вручну запускають його і цим заражають свої комп'ютери.

Як повідомляє «Лабораторія Касперського», експерти розслідують цю атаку і шукають способи боротьби з ним, а також шукають можливість дешифрування файлів, що постраждали від шифрувальника.

Більшість постраждалих від атаки перебувають у Росії. Також відомо, що схожі атаки відбуваються в Україні, Туреччині та Німеччині, але в набагато меншій кількості. Шифрувальник Bad Rabbitпоширюється через низку заражених сайтів російських ЗМІ.

"Лабораторія Каперського" вважає, що всі ознаки вказують на те, що це цілеспрямована атака на корпоративні мережі. Використовуються методи, схожі на те, що ми спостерігали в атаці ExPetr, проте зв'язку з ExPetr ми не підтвердити.

Вже відомо, що продукти «Лабораторії Касперського» детектують один із компонентів зловреду за допомогою хмарного сервісу Kaspersky Security Network як UDS:DangerousObject.Multi.Generic, а також за допомогою System Watcher як PDM:Trojan.Win32.Generic.

Як захистити себе від вірусу Bad Rabbit?

Щоб не стати жертвою нової епідемії «Поганого кролика», « Лабораторія Касперськогорекомендуємо зробити наступне:

Якщо у вас встановлений Антивірус Касперського, то:

• Перевірте, чи увімкнені у вашому захисному рішенні компоненти Kaspersky Security Network та «Моніторинг активності» (він же System Watcher). Якщо ні – обов'язково увімкніть.

Для тих, хто не має цього продукту:

• Заблокуйте виконання файлу c:\windows\infpub.dat, C:\Windows\cscc.dat. Це можна зробити через .
• Забороніть використання сервісу WMI, якщо це можливо.

Ще дуже важлива порада від мене:

Завжди робіть backup (бекап - резервна копія ) важливих Вам файлів. На знімному носії, хмарних сервісах! Це збереже ваші нерви, гроші та час!

Бажаю вам не підхопить цієї зарази до себе на ПК. Чистого та безпечного Вам інтернету!

Може бути провісником третьої хвилі вірусів-шифрувальників, вважають у «Лабораторії Касперського». Першими двома були гучні WannaCry і Petya (він же NotPetya). Про виникнення нової мережевої шкоди та про те, як захиститися від його потужної атаки, «СВІТ 24» розповіли експерти з кібербезпеки.

Здебільшого постраждалі від атаки Bad Rabbit («Поганого кролика») перебувають у Росії. На території України, Туреччини та Німеччини їх значно менше, зазначив керівник відділу антивірусних досліджень «Лабораторії Касперського» В'ячеслав Закоржевський. Ймовірно, другим за активністю виявилися ті країни, де користувачі активно стежать за російськими інтернет-ресурсами.

Коли шкідлива програма заражає комп'ютер, вона шифрує файли. Поширюється вона за допомогою веб-трафіку зі зламаних інтернет-ресурсів, серед яких опинилися переважно сайти федеральних російських ЗМІ, а також комп'ютери та сервери київського метрополітену, українського міністерства інфраструктури, міжнародного аеропорту "Одеса". Зафіксовано невдалу спробу атакувати російські банки з топ-20.

Про те, що «Фонтанку», «Інтерфакс» та низку інших видань атакували Bad Rabbit, повідомила вчора компанія Group-IB – вона спеціалізується на інформаційної безпеки. Аналіз коду вірусу показав, що Bad Rabbit пов'язаний із шифрувальником Not Petya, який у червніцього року атакував енергетичні, телекомунікаційні та фінансові компанії в Україні.

Атака готувалася кілька днів і, незважаючи на масштаби зараження, здирники вимагали від жертв атаки порівняно невеликі суми - 0,05 біткойна (це близько 283 доларів або 15 700 рублів). На викуп приділяється 48 годин. Після закінчення цього терміну зростає сума.

Фахівці Group-IB вважають, що, швидше за все, хакери не мають наміру заробити. Їхня ймовірна мета - перевірити рівень захисту мереж критичної інфраструктури підприємств, державних відомств та приватних компаній.

Стати жертвою атаки легко

Коли користувач заходить на заражений сайт, шкідливий кодпередає інформацію щодо нього на віддалений сервер. Далі з'являється спливаюче вікно з пропозицією завантажити оновлення для Flash Player, що є фальшивим. Якщо користувач схвалив операцію «Install/Встановити», на комп'ютер завантажиться файл, який запустить у системі шифратор Win32/Filecoder.D. Далі доступ до документів буде заблоковано, на екрані з'явиться повідомлення про викуп.

Вірус Bad Rabbit сканує мережу на предмет відкритих мережевих ресурсівПісля цього запускає на зараженій машині інструмент для збору облікових даних і цією «поведінкою» відрізняється від своїх попередників.

Фахівці міжнародного розробника антивірусного програмного забезпечення Eset NOD 32 підтвердили, що Bad Rabbit – нова модифікація вірусу Petya, принцип дії якого був таким самим – вірус шифрував інформацію та вимагав викуп у біткоїнах (сума була порівнянна з Bad Rabbit – 300 доларів). У новій шкідливій програмі виправлено помилки у шифруванні файлів. Код, використаний у вірусі, призначений для шифрування логічних дисків, зовнішніх USB-накопичувачівта образів CD/DVD, а також завантажувальних системних розділівдиска.

Говорячи про аудиторію, яка зазнала атак Bad Rabbit, керівник підтримки продажів ESET Russia Віталій Земськихзаявив про те, що 65% атак, зупинених антивірусними продуктамиПідприємства, припадають на Росію. В іншому географія нового вірусу виглядає так:

Україна – 12,2%

Болгарія – 10,2%

Туреччина – 6,4%

Японія – 3,8%

інші – 2,4%

«Вимагач використовує відоме програмне забезпеченняз відкритим кодомпід назвою DiskCryptor для шифрування дисків жертви. Екран повідомлення про блокування, який бачить користувач, майже ідентичний екранам блокування Petya та NotPetya. Тим не менш, це єдина подібність, яку ми спостерігали досі між двома шкідниками. У всіх інших аспектах BadRabbit - абсолютно новий і унікальний вид здирника», - вважає технічний директор компанії Check Point Software Technologies Микита Дуров.

Як захиститись від Bad Rabbit?

Власники операційних систем, відмінних від Windows, можуть полегшено зітхнути, оскільки новий вірус-шифрувальникробить вразливими лише комп'ютери із цією «віссю».

Для захисту від мережевого шкідника фахівці рекомендують створити на своєму комп'ютері файл C:\windows\infpub.dat, при цьому встановити для нього права "тільки для читання" - це нескладно зробити в розділі адміністрування. Таким чином ви заблокуєте виконання файлу, і всі документи, що надходять ззовні, не будуть зашифровані навіть у тому випадку, якщо виявляться зараженими. Щоб не втратити цінних даних у разі зараження вірусом, вже зараз зробіть бекап (резервну копію). І, зрозуміло, варто пам'ятати, що виплата викупу - пастка, яка не гарантує розблокування комп'ютера.

Нагадаємо, вірус у травні цього року поширився не менш ніж у 150 країнах світу. Він шифрував інформацію та вимагав заплатити викуп, за різними даними, від 300 до 600 доларів. Від нього постраждали понад 200 тисяч користувачів. За однією з версій його творці взяли за основу шкідливу програмуАНБ США Eternal Blue.

З експертами спілкувалася Алла Смирнова

Вірус-шифрувальник Bad Rabbit або Diskcoder.D. атакує корпоративні мережі великих і середніх організацій, блокуючи всі мережі.

Bad Rabbit або "поганий кролик" важко назвати першопрохідником - йому передували віруси-шифрувальники Petya та WannaCry.

Bad Rabbit - що за вірус

Схему поширення нового вірусу досліджували експерти антивірусної компанії ESET та з'ясували, що Bad Rabbit проникав на комп'ютери жертв під виглядом оновлення Adobe Flash для браузера.

В антивірусній компанії вважають, що шифратор Win32/Diskcoder.D, який отримав назву Bad Rabbit – модифікована версія Win32/Diskcoder.C, більш відомого як Petya/NotPetya, який вразив IT-системи організацій у кількох країнах у червні. На зв'язок Bad Rabbit з NotPetya вказують збіги коду.

В атаці використовується програма Mimikatz, яка перехоплює на зараженій машині логіни та паролі. Також у коді є вже прописані логіни та паролі для спроб отримання адміністративного доступу.

У новій шкідливій програмі виправлені помилки у шифруванні файлів - код, використаний у вірусі, призначений для шифрування логічних дисків, зовнішніх USB-накопичувачів та образів CD/DVD, а також системних завантажувальних розділів диска. Так, що експертам із дешифрування доведеться витратити багато часу, щоб розкрити секрет вірусу Bad Rabbit, стверджують фахівці.

Новий вірус, як стверджують фахівці, діє за стандартною для шифрувальників схемі - потрапляючи в систему невідомо звідки, він кодує файли, за розшифровку яких вибирають файли.

Розблокування одного комп'ютера обійдеться в 0,05 біткоїну, що становить близько 283 доларів за поточним курсом. У разі виплати викупу шахраї надішлють спеціальний код-ключ, який дозволить відновити нормальну роботу системи і не втратити все.

Якщо користувач не переведе кошти протягом 48 годин, розмір викупу зросте.

Але варто пам'ятати, що виплата викупу - може бути пасткою, яка не гарантує розблокування комп'ютера.

В ESET зазначають, що в даний час зв'язок шкідливої ​​програми з віддаленим серверомВідсутнє.

Вірус найбільше вразив російських користувачів, меншою мірою — компанії в Німеччині, Туреччині та Україні. Розповсюдження відбувалося через заражені ЗМІ. Відомі заражені сайти вже заблоковано.

У ESET вважають, що статистика атак значною мірою відповідає географічному розподілу сайтів, що містять шкідливий JavaScript.

Як захиститись

Фахівці компанії Group-IB, яка займається запобіганням та розслідуванню кіберзлочинностей, дали рекомендації, як захиститися від вірусу Bad Rabbit.

Зокрема, для захисту від мережевого шкідника потрібно створити на своєму комп'ютері файл C: windows infpub.dat, при цьому в розділі адміністрування встановити для нього права "тільки для читання".

Цією дією виконання файлу буде заблоковано, і всі документи, що надходять ззовні, не будуть зашифровані навіть у тому випадку, якщо виявляться зараженими. Потрібно створити резервну копію всіх цінних даних, щоб у разі зараження не втратити їх.

Фахівці Group-IB також радять заблокувати ip-адреси та доменні імена, з яких відбувалося поширення шкідливих файлів, поставити користувачам блокування спливаючих вікон.

Рекомендується також оперативно ізолювати комп'ютери у системі виявлення вторгнень. Користувачам ПК слід також перевірити актуальність та цілісність резервних копійключових мережевих вузлів і оновити операційні системи та системи безпеки.

"У частині парольної політики: налаштуваннями групової політикизабороніть зберігання паролів у LSA Dump у відкритому вигляді. Змініть усі паролі на складні", - додали в компанії.

Попередники

Вірус WannaCry у травні 2017 року поширився щонайменше ніж у 150 країнах світу. Він шифрував інформацію та вимагав заплатити викуп, за різними даними, від 300 до 600 доларів.

Від нього постраждали понад 200 тисяч користувачів. За однією з версій його творці взяли за основу шкідливу програму АНБ США Eternal Blue.

Глобальна атака вірусу-здирника Petya 27 червня вразила IT-системи компаній у кількох країнах світу, більшою мірою торкнувшись України.

На атаку зазнали комп'ютери нафтових, енергетичних, телекомунікаційних, фармацевтичних компаній, а також держорганів. Кіберполіція України заявила, що атака вірусу-здирника відбулася за допомогою програми "M.E.doc".

Матеріал підготовлений на основі відкритих джерел

Кінець жовтня цього року було ознаменовано появою нового вірусу, який активно атакував комп'ютери корпоративних та домашніх користувачів. Новий вірус є шифрувальником і називається Bad Rabbit, що в перекладі означає поганий кролик. За допомогою цього вірусу були атаковані сайти кількох російських засобів масової інформації. Пізніше вірус виявили і в інформаційних мережах українських підприємств. Там були атаковані інформаційні мережіметрополітену, різних міністерств, міжнародних аеропортів та інше. Трохи пізніше аналогічна вірусна атака спостерігалася в Німеччині та Туреччині, хоча її активність була суттєво нижчою, ніж в Україні та Росії.

Шкідливий вірус є спеціальним плагіном, який після попадання на комп'ютер, робить шифрування його файлів. Після того, як інформація була зашифрована, зловмисники намагаються отримати винагороду від користувачів за розшифрування даних.

Розповсюдження вірусу

Фахівці лабораторії з розробки антивірусних програм ESET проаналізували алгоритм роботи способу поширення вірусу і дійшли висновків, що він є модифікованим вірусом, який нещодавно поширювався, як вірус Petya.

Фахівці лабораторії ESET вирахували, що поширення шкідливих плагінів здійснювалося з ресурсу 1dnscontrol.com та IP-адреси IP5.61.37.209. З цим доменом та IP також пов'язані ще кілька ресурсів, серед яких secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.

Фахівцями було розслідувано, що власниками цих сайтів зареєстровано безліч різних ресурсів, наприклад, через які спам розсилки намагаються реалізувати контрафактні медикаменти. Фахівці ESET не виключають, що саме за допомогою цих ресурсів, використовуючи спам розсилку та фішинг, була здійснена основна кібератака.

Як відбувається зараження вірусом Bad Rabbit

Фахівцями лабораторії комп'ютерної криміналістики проводилося розслідування, як вірус потрапляв на комп'ютери користувачів. Було виявлено, що в більшості випадків вірус-шифрувальник Bad Rabbit поширювався як оновлення до Adobe Flash. Тобто вірус не використовував якісь уразливості операційної системи, а встановлювався самими користувачами, які, не знаючи про це, схвалювали його установку, думаючи, що вони оновлюють плагін Adobe Flash. Коли вірус потрапляв у локальну мережуВін виробляв крадіжку з пам'яті логінів і паролів і самостійно поширювався на інші комп'ютерні системи.

Як хакери вимагають гроші

Після того як вірус-шифрувальник був встановлений на комп'ютері він робить шифрування інформації, що зберігається. Далі користувачі отримують повідомлення, в якому вказується, що для того, щоб отримати доступ до своїх даних, слід виконати платіж на вказаному сайті в даркнеті. Для цього спочатку потрібно встановити спеціальний браузер Tor. За те, що комп'ютер буде розблоковано, зловмисники вимагають оплату в сумі 0,05 біткоїну. На сьогоднішній день, за ціною за 1 Bitcoin 5600 доларів, це становить приблизно 280 доларів за розблокування комп'ютера. На те щоб зробити оплату користувачеві надається тимчасовий термін рівний 48 годин. Після закінчення цього терміну, якщо необхідну суму не було переведено на електронний рахунок зловмисника, сума збільшується.

Як захиститися від вірусу

1. Щоб захистити себе від зараження вірусом Bad Rabbit слід заблокувати доступ з інформаційного середовища до вказаних доменів.
2. Для домашніх користувачів потрібно провести оновлення поточної версії Windowsа також антивірусної програми. У такому разі шкідливий файл буде детектуватись, як вірус здирник, що виключить можливість його встановлення на комп'ютері.
3. Ті користувачі, які використовують вбудований антивірус операційної системи Windows, вже мають захист від цих здирників. Вона реалізована в програмі Windows Defender Antivirus.
4. Розробники антивірусної програми з Касперського лабораторії радять усім користувачам періодично робити бэкап своїх даних. Крім цього, фахівці рекомендують блокувати виконання файлів c:\windows\infpub.dat, c:\WINDOWS\cscc.dat, а також, якщо є можливість, то потрібно заборонити використання WMI-сервісу.

Висновок

Кожен із користувачів комп'ютера повинен пам'ятати, що кібербезпека під час роботи в мережі має бути на першому місці. Тому завжди потрібно стежити за використанням лише перевірених інформаційних ресурсівта акуратно використовувати електронну поштуі соціальні мережі. Саме через ці ресурси найчастіше здійснюється поширення різних вірусів. Елементарні правилаповедінки в інформаційному середовищі дозволять виключити проблеми, що виникають при вірусній атаці.