Новий вірус бід раббіт. Що за вірус Bad Rabbit та як захистити свій комп'ютер. Видалення вірусу Bad Rabbit

Третя масштабна кібератака за рік. Цього разу вірус з новою назвою Bad Rabbit та старими звичками – шифрування даних та вимагання грошей за розблокування. І в зоні поразки, як і раніше, Росія, Україна та деякі інші країни СНД.

Поганий Кролик діє за звичною схемою: надсилає фішинговий лист із вкладеним вірусом або посиланням. Зокрема, зловмисники можуть бути техпідтримкою Microsoft і попросити терміново відкрити вкладений файл або пройти за посиланням. Є й інший шлях розповсюдження – підроблене вікно оновлення Adobe Flash Player. В обох випадках Bad Rabbit діє також, як і гучний недавно, він шифрує дані жертви і вимагає викуп у розмірі 0,05 біткойна, що приблизно $280 за курсом на 25 жовтня 2017 року. Жертвами нової епідемії стали «Інтерфакс», пітерське видання «Фонтанка», київський Метрополітен, одеський аеропорт та Міністерство культури України. Є дані, що новий віруснамагався атакувати і кілька відомих російських банків, але ця витівка провалилася. Експерти пов'язують Bad Rabbit із попередніми великими атаками, зафіксованими цього року. Доказом тому служить подібне шифрування Diskcoder.D, а це той самий шифрувальник Petya, тільки злегка видозмінений.

Як захиститись від Bad Rabbit?

Фахівці рекомендують власникам Windows комп'ютерівстворити файл "infpub.dat" і помістити його в папку Windows на диску "C". У результаті шлях має виглядати так: C:\windows\infpub.dat. Зробити це можна за допомогою звичайного блокнота, але з правами адміністратора. Для цього знаходимо посилання на програму "Блокнот", клацаємо правою кнопкою мишки та вибираємо "Запуск від імені Адміністратора".

Далі потрібно просто зберегти цей файл на адресу C:\windows\, тобто в папку Windows на диску "C". Назва файлу: infpub.dat, при цьому "dat" - це розширення файлу. Не забудьте замінити стандартне розширення блокноту "txt" на "dat". Після того, як ви збережете файл, відкрийте папку Windows, знайдіть створений файл infpub.dat, натисніть на нього правою кнопкою миші та виберіть пункт "Властивості", де в самому низу потрібно поставити галочку "Тільки читання". Таким чином, навіть якщо ви зловите вірус Поганого Кролика, він не зможе зашифрувати ваші дані.

Превентивні заходи

Не забувайте, що захистити себе від будь-якого вірусу можна просто дотримуючись певних правил. Прозвучить банально, але ніколи не відкривайте листи і вже тим більше їх вкладення, якщо адреса здається вам підозрілою. Фішингові листи, тобто маскуються під інші послуги, найчастіший спосіб зараження. Слідкуйте за тим, що ви відкриваєте. Якщо в листі вкладений файл називається «Важливий документ.docx_______.exe», то відкривати цей файл точно не слід. Крім цього, потрібно мати резервні копії важливих файлів. Наприклад, сімейний архів з фотографіями або робочі документи можна продублювати на зовнішній дискабо на хмарне сховище. Не забувайте, як важливо використовувати ліцензійну версію Windowsта регулярно встановлювати оновлення. Патчі безпеки випускаються Microsoft регулярно і ті, хто їх встановлює, не мають проблем з подібними вірусами.

Вірус- шифрувальник Bad Rabbit або Diskcoder.D. атакує корпоративні мережі великих і сучасних організацій, блокуючи всі мережі.

Bad Rabbit або "поганий кролик" важко назвати першопрохідником - йому передували віруси-шифрувальники Petya та WannaCry.

Bad Rabbit - що за вірус

Схему поширення нового вірусу досліджували експерти антивірусної компанії ESET та з'ясували, що Bad Rabbit проникав на комп'ютери жертв під виглядом оновлення. Adobe Flashдля браузера.

В антивірусній компанії вважають, що шифратор Win32/Diskcoder.D, який отримав назву Bad Rabbit – модифікована версія Win32/Diskcoder.C, більш відомого як Petya/NotPetya, який вразив IT-системи організацій у кількох країнах у червні. На зв'язок Bad Rabbit з NotPetya вказують збіги коду.

В атаці використовується програма Mimikatz, яка перехоплює на зараженій машині логіни та паролі. Також у коді є вже прописані логіни та паролі для спроб отримання адміністративного доступу.

У новій шкідливій програмі виправлені помилки у шифруванні файлів - код, використаний у вірусі, призначений для шифрування логічних дисків, зовнішніх USB-накопичувачівта образів CD/DVD, а також завантажувальних системних розділівдиска. Так, що експертам з дешифрування доведеться витратити багато часу, щоб розкрити секрет вірусу Bad Rabbit, стверджують фахівці.

Новий вірус, як стверджують спеціалісти, діє за стандартною для шифрувальників cхеме - попадаючи в систему невідомо звідки, він кодує файли, за розшифровку яких вибирають.

Розблокування одного комп'ютера обійдеться в 0,05 біткоїну, що становить близько 283 доларів за поточним курсом. У разі виплати викупу шахраї надішлють спеціальний код-ключ, який дозволить відновити нормальну роботу системи і не втратити все.

Якщо користувач не переведе кошти протягом 48 годин, розмір викупу зросте.

Але варто пам'ятати, що виплата викупу - може бути пасткою, яка не гарантує розблокування комп'ютера.

В ESET зазначають, що зв'язок шкідливої ​​програми з віддаленим сервером відсутня.

Вірус найбільше вразив російських користувачів, меншою мірою компанії в Німеччині, Туреччині та в Україні. Розповсюдження відбувалося через заражені ЗМІ. Відомі заражені сайти вже заблоковані.

У ESET вважають, що статистика атак значною мірою відповідає географічному розподілу сайтів, що містять шкідливий JavaScript.

Як захиститись

Фахівці компанії Group-IB, яка займається запобіганням та розслідуванню кіберзлочинностей, дали рекомендації, як захиститися від вірусу Bad Rabbit.

Зокрема, для захисту від мережевого шкідника потрібно створити на своєму комп'ютері файл C:\windows\infpub.dat, при цьому в розділі адміністрування встановити для нього права лише для читання.

Цією дією виконання файлу буде заблоковано, і всі документи, що надходять ззовні, не будуть зашифровані навіть у тому випадку, якщо виявляться зараженими. Потрібно створити резервну копіювсіх цінних даних, щоб у разі зараження не втратити їх.

Фахівці Group-IB також радять заблокувати ip-адреси та доменні імена, з яких відбувалося поширення шкідливих файлів, поставити користувачам блокування спливаючих вікон.

Рекомендується також оперативно ізолювати комп'ютери у системі виявлення вторгнень. Користувачам ПК слід також перевірити актуальність та цілісність резервних копій ключових мережних вузлів та оновити операційні системи та системи безпеки.

"У частині парольної політики: налаштуваннями групової політики забороніть зберігання паролів у LSA Dump у відкритому вигляді. Змініть усі паролі на складні", - додали в компанії.

Попередники

Вірус WannaCry у травні 2017 року поширився не менш ніж у 150 країнах світу. Він шифрував інформацію та вимагав заплатити викуп, за різними даними, від 300 до 600 доларів.

Від нього постраждали понад 200 тисяч користувачів. За однією з версій його творці взяли за основу шкідливу програму АНБ США Eternal Blue.

Глобальна атака вірусу-здирника Petya 27 червня вразила IT-системи компаній у кількох країнах світу, більшою мірою торкнувшись України.

На атаку зазнали комп'ютери нафтових, енергетичних, телекомунікаційних, фармацевтичних компаній, а також держорганів. Кіберполіція України заявила, що атака вірусу-здирника відбулася за допомогою програми "M.E.doc".

Матеріал підготовлений на основі відкритих джерел

Може бути провісником третьої хвилі вірусів-шифрувальників, вважають у «Лабораторії Касперського». Першими двома були гучні WannaCry і Petya (він же NotPetya). Про виникнення нової мережевої шкоди і про те, як захиститися від його потужної атаки, «СВІТ 24» розповіли експерти з кібербезпеки.

Здебільшого постраждалі від атаки Bad Rabbit («Поганого кролика») перебувають у Росії. На території України, Туреччини та Німеччини їх значно менше, зазначив керівник відділу антивірусних досліджень «Лабораторії Касперського» В'ячеслав Закоржевський. Ймовірно, другим за активністю виявилися ті країни, де користувачі активно стежать за російськими інтернет-ресурсами.

Коли шкідлива програмазаражає комп'ютер, вона шифрує у ньому файли. Поширюється вона за допомогою веб-трафіку зі зламаних інтернет-ресурсів, серед яких опинилися переважно сайти федеральних російських ЗМІ, а також комп'ютери та сервери київського метрополітену, українського міністерства інфраструктури, міжнародного аеропорту «Одеса». Зафіксовано невдалу спробу атакувати російські банки з топ-20.

Про те, що «Фонтанку», «Інтерфакс» та низку інших видань атакували Bad Rabbit, повідомила вчора компанія Group-IB – вона спеціалізується на інформаційної безпеки. Аналіз коду вірусу показав, що Bad Rabbit пов'язаний з шифрувальником Not Petya, який у червніцього року атакував енергетичні, телекомунікаційні та фінансові компанії в Україні.

Атака готувалася кілька днів і, незважаючи на масштаби зараження, здирники вимагали від жертв атаки порівняно невеликі суми - 0,05 біткойна (це близько 283 доларів або 15 700 рублів). На викуп приділяється 48 годин. Після закінчення цього терміну сума зростає.

Фахівці Group-IB вважають, що, швидше за все, хакери не мають наміру заробити. Їхня ймовірна мета - перевірити рівень захисту мереж критичної інфраструктури підприємств, державних відомств та приватних компаній.

Стати жертвою атаки легко

Коли користувач заходить на заражений сайт, шкідливий кодпередає інформацію про нього на віддалений сервер. Далі з'являється спливаюче вікно із пропозицією завантажити оновлення для Flash Player, яке є фальшивим. Якщо користувач схвалив операцію «Install/Встановити», на комп'ютер завантажиться файл, який запустить у системі шифратор Win32/Filecoder.D. Далі доступ до документів буде заблоковано, на екрані з'явиться повідомлення про викуп.

Вірус Bad Rabbit сканує мережу на предмет відкритих мережевих ресурсівПісля цього запускає на зараженій машині інструмент для збору облікових даних і цією «поведінкою» відрізняється від своїх попередників.

Фахівці міжнародного розробника антивірусного програмного забезпечення Eset NOD 32 підтвердили, що Bad Rabbit – нова модифікація вірусу Petya, принцип дії якого був таким же – вірус шифрував інформацію та вимагав викуп у біткоїнах (сума була порівнянна з Bad Rabbit – 300 доларів). У новій шкідливій програмі виправлено помилки у шифруванні файлів. Код, використаний у вірусі, призначений для шифрування логічних дисків, зовнішніх USB-накопичувачів та образів CD/DVD та завантажувальних системних розділів диска.

Говорячи про аудиторію, яка зазнала атак Bad Rabbit, керівник підтримки продажів ESET Russia Віталій Земськихзаявив про те, що 65% атак, зупинених антивірусними продуктамиПідприємства, припадають на Росію. В іншому географія нового вірусу виглядає так:

Україна – 12,2%

Болгарія – 10,2%

Туреччина – 6,4%

Японія – 3,8%

інші – 2,4%

«Здирник використовує відоме програмне забезпеченняз відкритим кодомпід назвою DiskCryptor для шифрування дисків жертви. Екран повідомлення про блокування, який бачить користувач, майже ідентичний екранам блокування Petya та NotPetya. Тим не менш, це єдина подібність, яку ми спостерігали досі між двома шкідниками. У всіх інших аспектах BadRabbit - абсолютно новий і унікальний вид здирника», - вважає технічний директор компанії Check Point Software Technologies Микита Дуров.

Як захиститись від Bad Rabbit?

Власники операційних систем, відмінних від Windows, можуть полегшено зітхнути, оскільки новий вірус-шифрувальник робить вразливими лише комп'ютери з цією "віссю".

Для захисту від мережного зловреда фахівці рекомендують створити на своєму комп'ютері файл C:\windows\infpub.dat, при цьому встановити для нього права "тільки для читання" - це нескладно зробити в розділі адміністрування. Таким чином ви заблокуєте виконання файлу, і всі документи, що надходять ззовні, не будуть зашифровані навіть у тому випадку, якщо виявляться зараженими. Щоб не втратити цінних даних у разі зараження вірусом, вже зараз зробіть бекап (резервну копію). І, звичайно, варто пам'ятати, що виплата викупу - пастка, що не гарантує вам розблокування комп'ютера.

Нагадаємо, вірус у травні цього року поширився не менш ніж у 150 країнах світу. Він шифрував інформацію та вимагав заплатити викуп, за різними даними, від 300 до 600 доларів. Від нього постраждали понад 200 тисяч користувачів. За однією з версій його творці взяли за основу шкідливу програму АНБ США Eternal Blue.

З експертами спілкувалася Алла Смирнова

Bad Rabbit - це вірус, що відноситься до вірусів-вимагачів, що шифрують. З'явився він нещодавно і націлений головним чином комп'ютери користувачів Росії та України, і навіть частково Німеччини та Туреччини.

Принцип роботи вірусів-шифрувальників завжди один: потрапляючи на комп'ютер, шкідлива програма шифрує файли системи та дані користувача, блокуючи доступ до комп'ютера за допомогою пароля. Все, що відображається на екрані, – це вікно вірусу, вимоги зловмисника та номер рахунку, на який вимагає перевести гроші для розблокування. Після масового поширення криптовалют стало популярно вимагати викуп саме в біткоїнах, оскільки операції з ними вкрай складно відстежити з боку. Також надходить і Bad Rabbit. Він використовує вразливість операційної системи, зокрема Adobe Flash Player, і проникає під виглядом оновлення для нього.

Після зараження BadRabbit створює в папці Windowsфайл infpub.dat, який створює решту файлів програми: cscc.dat і dispci.exe, які вносять свої зміни в налаштування MBR дискакористувача і створюють свої завдання подібно до Планувальника завдань. Ця шкідлива програма має свій персональний сайт для оплати викупу, користується сервісом шифрування DiskCryptor, шифрує методами RSA-2048 та AE, а також відстежує всі пристрої, підключені до даному комп'ютеру, намагаючись заразити їх також.

Згідно з оцінкою Symantec вірус отримав статус низької загрози, а також, за твердженням фахівців, був створений тими ж розробниками, що й віруси, виявлені за пару місяців до Bad Rabbit, NotPetya та Petya, оскільки має схожі алгоритми роботи. Вперше шифрувальник Bad Rabbit з'явився в жовтні 2017 року і першими його жертвами стали інтернет-газета «Фонтанка», низка ЗМІ та сайт інформаційного агентства"Інтерфакс". Компанія «Білайн» також була піддана атаці, але загрозу вдалося вчасно запобігти.

Примітка: На щастя, на Наразіпрограми виявлення подібних загроз вже ефективніші, ніж раніше, і ризик зараження цим вірусом знизився.

Видалення вірусу Bad Rabbit

Відновлення завантажувача

Як і в більшості випадків подібного типу, для усунення загрози можна спробувати відновити завантажувач Windows. У випадку з Windows 10 і Windows 8 для цього необхідно підключити інсталяційний дистрибутив системи на USB або DVD і, завантажившись з нього, перейти до опції «Виправлення вашого комп'ютера». Після цього потрібно перейти в «Усунення несправностей» та вибрати « Командний рядок».

Тепер залишилося ввести команди одну за одною, щоразу натискаючи Enter після введення чергової команди:

1. bootrec/FixMbr
2. bootrec/FixBoot
3. bootrec /ScanOs
4. bootrec /RebuildBcd

Після проведених операцій – вихід та перезавантаження. Найчастіше цього вистачає на вирішення проблеми.
Для Windows 7 дії ті самі, тільки там «Командний рядок» знаходиться в «Опціях системного відновлення» на настановному дистрибутиві.

Усунення вірусу через Безпечний режим

Для використання цього способу необхідно увійти до безпечний режимза допомогою мережі. Саме за допомогою мережі, а не простий Безпечний режим. У Windows 10 це можна зробити знову ж таки через інсталяційний дистрибутив. Завантажившись з нього, у вікні з кнопкою «Встановити» необхідно натиснути комбінацію із клавіш Shift+F10 і введіть у поле:

bcdedit /set (default) safeboot network

У Windows 7 можна просто кілька разів протиснути F8 під час увімкнення комп'ютера і в меню вибрати цей режим завантаження зі списку.
Після входу в безпечний режим головна ціль – просканувати операційну системуна наявність загроз. Зробити це краще через перевірені часом утиліти, такі як Reimage чи Malwarebytes Anti-Malware.

Усунення загрози за допомогою Центру відновлення

Для користування даного способунеобхідно знову задіяти командний рядок, як з інструкції вище, а після її запуску ввести cd restore і підтвердити натисканням Enter. Після цього слід ввести rstrui.exe. Відкриється вікно програми, в якому можна повернутися на попередню точку відновлення, що передує зараженню.

Всім привіт! Буквально днями в Росії та Україні, Туреччині, Німеччині та Болгарії почалася масштабна атака хакера новим вірусом-шифрувальником Bad Rabbit, він же Diskcoder.D. Шифрувальник на даний момент атакує корпоративні мережівеликих та середніх організацій, блокуючи всі мережі. Сьогодні ми розповімо що з себе є цей троян і як можна захиститися від нього.

Що це за вірус?

Bad Rabbit (Поганий Кролик) діє за стандартною для шифрувальників схемою: потрапляючи в систему, він кодує файли, за розшифровку яких хакери вимагають 0,05 біткоїну, що за курсом становить 283 $ (або 15 700 руб). Про це повідомляється окремим вікном, куди і потрібно вводити куплений ключ. Загроза відноситься до типу троянів Trojan.Win32.Generic, проте в ньому присутні інші компоненти, такі як DangerousObject.Multi.Genericі Ransom .Win 32.Gen .ftl.

Bad Rabbit – новий вірус шифрувальник

Повністю відстежити всі джерела зараження поки що складно, але фахівці цим зараз займаються. Імовірно, загроза потрапляє на ПК через заражені сайти, на яких налаштовано перенапрямок, або під виглядом фейкових оновлень для популярних плагінів типу Adobe Flash. Список таких сайтів поки що розширюється.

Чи можна видалити вірус та як захиститися?

Відразу варто сказати, зараз всі антивірусні лабораторії взялися за аналіз цього трояна. Якщо безпосередньо шукати інформацію щодо видалення вірусу, то її, як такої, немає. Відкинемо відразу стандартні поради – зробіть бекап системи, точку повернення, видаліть такі файли. Якщо у вас немає збережень, то все інше не працює, хакери такі моменти через специфікацію вірусу продумали.

Я думаю, протягом швидкого часу будуть поширюватися зроблені аматорами дешифратори для Bad Rabbit - вестися на ці програми або ні - ваша особиста справа. Як показав минулий шифрувальник Petya, це мало кому допомагає.

А ось попередити загрозу та видалити її при спробі залізти у ПК можна. Першими на повідомлення про вірусну епідемію відреагували лабораторії Kaspersky та ESET, які вже зараз блокують спроби проникнення. Браузер Google Chrome також почав виявляти заражені ресурси та попереджати про їхню небезпеку. Ось що потрібно зробити для захисту від BadRabbit насамперед:

1. Якщо ви використовуєте для захисту Касперський, ESET, Dr.Web, або інші популярні аналоги, необхідно обов'язково виконати оновлення баз даних. Також, для Касперського необхідно включити "Моніторинг активності" (System Watcher), а ESET застосуйте сигнатури з оновленням 16295.

   

2. Якщо ви не користуєтесь антивірусами, тоді необхідно заблокувати виконання файлів C:\Windows\infpub.datі C:\Windows\cscc.dat. Робиться це через редактор групових політик, або програму AppLocker для Windows.

Бажано заборонити виконання служби – Windows Management Instrumentation (WMI). У десятці служба називається “Інструментарій управління Windows” . Через праву кнопку увійдіть у властивості служби та виберіть "Тип запуску"режим "Відключено".



3. Обов'язково створіть резервну копію вашої системи. За ідеєю, копія повинна завжди зберігатися на носії, що підключається. Ось невелика відео-інструкція щодо її створення.

Висновок

На завершення варто сказати найголовніше – не варто платити викуп, хоч би що у вас було зашифровано. Такі дії лише підбурюють шахраїв створювати нові вірусні атаки. Слідкуйте за форумами антивірусних компаній, які, я сподіваюся, незабаром вивчать вірус Bad Rabbit і знайдуть ефективну таблетку. Обов'язково виконайте вищезазначені пункти захисту вашої ОС. У разі складнощів у їхньому виконанні, відпишіться у коментарях.