Вирус-шифровальщик Bad Rabbit, атаке которого накануне подверглись российские СМИ, пытался атаковать и российские банки из топ-20, рассказали Forbes в Group-IB, которая занимается расследованием и предотвращением киберпреступлений. Уточнить подробности об атаках на кредитные организации представитель компании отказался, пояснив, что Group-IB не раскрывает информацию о клиентах, использующих ее систему обнаружения вторжений.

По данным специалистов по кибербезопасности, попытки заражения вирусом инфраструктур российских банков происходили 24 октября с 13:00 до 15:00 мск. В Group-IB считают, что кибератаки продемонстрировали более качественную защиту банков по сравнению с компаниями небанковского сектора. Ранее в компании сообщили , что новый вирус-шифровальщик, вероятно, связанный с июньской эпидемией шифровальщика NotPetya (на это указывают совпадения в коде), атаковал российские СМИ. Речь шла об информационных системах агентства «Интерфакс», а также серверах петербургского новостного портала «Фонтанка». Кроме того, вирус ударил по системам Киевского метрополитена, министерства инфраструктуры Украины, Международного аэропорта «Одесса». NotPetya летом поразил энергетические, телекоммуникационные и финансовые компании преимущественно на Украине. За расшифровку файлов, зараженных вирусом BadRabbit, злоумышленники требуют 0,05 биткойна, что по текущему курсу примерно эквивалентно $283 или 15 700 рублям.

В «Лаборатории Касперского» уточнили, что в этот раз большинство жертв хакеры выбрали в России. Однако похожие атаки в компании зафиксировали на Украине, Турции и Германии, но «в значительно меньшем количестве». «Все признаки указывают на то, что это целенаправленная атака на корпоративные сети. Используются методы, похожие на те, что мы наблюдали в атаке ExPetr, однако связь с ExPetr мы подтвердить не можем», - сообщил представитель компании. Собеседник Forbes добавил, что все продукты «Лаборатории Касперского» «детектируют эти вредоносные файлы как UDS:DangerousObject.Multi.Generic».

Как защититься?

В целях защиты от этой атаки в «Лаборатории Касперского» рекомендовали использовать антивирус с включенным KSN и модулем «Мониторинг системы». «Если не установлено защитное решение «Лаборатории Касперского», мы рекомендуем запретить исполнение файлов с названиями c:\windows\infpub.dat и C:\Windows\cscc.dat с помощью инструментов системного администрирования», - посоветовал руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский.

В Group-IB отмечают, чтобы вирус не смог зашифровать файлы, «необходимо создать файл C:\windows\infpub.dat и поставить ему права «только для чтения». После этого даже в случае заражения файлы не будут зашифрованы, говорится в сообщении компании. В то же время нужно оперативно изолировать компьютеры, которые были замечены в пересылке подобных вредоносных файлов, чтобы избежать масштабного заражения других компьютеров, подключенных к сети. После этого пользователям необходимо убедиться в актуальности и целостности резервных копий ключевых сетевых узлов.

Когда первичные действия выполнены, пользователю советуют обновить операционные системы и системы безопасности, параллельно заблокировав IP-адреса и доменные имена, с которых происходило распространение вредоносных файлов. Group-IB рекомендует сменить все пароли на более сложные и поставить блокировку всплывающих окон, а также запретить хранение паролей в LSA Dump в открытом виде.

Кто стоит за атакой BadRabbit

В 2017 году уже было зафиксировано две крупнейших эпидемии шифровальщиков - WannaCry (атаковал 200 000 компьютеров в 150 странах мира) и ExPetr. Последний - Petya и одновременно NotPetya, отмечают в «Лаборатории Касперского». Теперь, по мнению компании, «начинается третья». Имя нового вируса-шифровальщика Bad Rabbit «написано на странице в даркнете, на которую его создатели отправляют за выяснением деталей», уточняют в компании. В Group-IB полагают, что Bad Rabbit является модифицированной версией NotPetya с исправленными ошибками в алгоритме шифрования. В частности, код Bad Rabbit включает в себя блоки, полностью повторяющие NotPetya.

В ESET Russia соглашаются, что использовавшееся в атаке вредоносное ПО «Win32/Diskcoder.D» – модифицированная версия «Win32/Diskcoder.C», более известного как Petya/NotPetya. Как уточнил Виталий Земских, руководитель поддержки продаж ESET Russia, в беседе с Forbes, статистика атак по странам «в значительной степени соответствует географическому распределению сайтов, содержащих вредоносный JavaScript». Таким образом, большая часть заражений пришлась на Россию (65%), следом идут Украина (12,2%), Болгария (10,2%), Турция (6,4%) и Япония (3,8%).

Заражение вирусом Bad Rabbit происходило после захода на взломанные сайты. На скомпрометированные ресурсы в HTML-код хакеры загрузили JavaScript-инжект, который показывал посетителям поддельное окно, предлагающее установить обновление Adobe Flash плеера. Если пользователь соглашался на обновление, то на компьютер устанавливался вредоносный файл с именем «install_flash_player.exe». «Заразив рабочую станцию в организации, шифратор может распространяться внутри корпоративной сети через протокол SMB. В отличие от своего предшественника Petya/NotPetya, Bad Rabbit не использует эксплойт EthernalBlue – вместо этого он сканирует сеть на предмет открытых сетевых ресурсов», - говорит Земских. Следом на зараженной машине запускается инструмент Mimikatz для сбора учетных данных. Кроме того, предусмотрен жестко закодированный список логинов и паролей.

Информации о том, кто организовал хакерские атаки пока нет. В то же время, по мнению Group-IB, похожие по характеру массовые атаки WannaCry и NotPetya могли быть связаны с хакерскими группировками, финансируемыми государствами. Специалисты делают такой вывод на основании того, что финансовая выгода от подобных атак в сравнении со сложностью их проведения «ничтожна». «Скорее всего это были не попытки заработать, а проверить уровень защиты сетей критической инфраструктуры предприятий, госведомств и частных компаний», - заключают эксперты. Представитель Group-IB подтвердил Forbes, что последний вирус - Bad Rabbit – может оказаться проверкой защиты инфраструктур госведомств и бизнеса. «Да, это не исключено. Учитывая, что атаки велись точечно - по объектам критической инфраструктуры - аэропорт, метрополитен, госучреждения», - поясняет собеседник Forbes.

Отвечая на вопрос о виновных в последней атаке, в ESET Russia подчеркивают, что используя только инструменты антивирусной компании, провести качественное расследование и установить причастных невозможно, это задача специалистов другого профиля. «Мы как антивирусная компания выявляем методы и цели атак, вредоносные инструменты атакующих, уязвимости и эксплойты. Поиск виновных, их мотивов, государственной принадлежности и прочее – не наша сфера ответственности», - заявил представитель компании, пообещав сделать выводы о назначении Bad Rabbit по итогам расследования. «К сожалению, в ближайшей перспективе мы увидим немало подобных инцидентов – вектор и сценарий данной атаки показали высокую эффективность», - делают прогнозы в ESET Russia. Собеседник Forbes напоминает, что на 2017 год компания прогнозировала рост числа целевых атак на корпоративный сектор, прежде всего, на финансовые организации (более чем на 50%, по предварительным оценкам). «В настоящее время эти прогнозы сбываются, мы наблюдаем рост числа атак в сочетании с увеличением ущерба пострадавших компаний», - признает он.

Приветствую Вас, дорогие посетители и гости данного блога! Сегодня в мире появился очередной вирус-шифровальщик по имени: «Bad Rabbit » — «Злобный кролик «. Это уже третий нашумевший шифровальщик за 2017 год. Предыдущие были и (он же NotPetya).

Bad Rabbit — Кто уже пострадал и много ли требует денег?

Пока что предположительно от этого шифровальщика пострадали несколько российских медиа - среди них Интерфакс и Фонтанка. Также о хакерской атаке - возможно, связанной с тем же Bad Rabbit, - сообщает аэропорт Одессы.

За расшифровку файлов злоумышленники требуют 0,05 биткойна, что по современному курсу примерно эквивалентно 283 долларам или 15 700 рублям.

Результаты исследования «Лаборатории Касперского» говорят о том, что в атаке не используются эксплойты. Bad Rabbit распространяется через зараженные веб-сайты: пользователи скачивают фальшивый установщик Adobe Flash, вручную запускают его и тем самым заражают свои компьютеры.

Как сообщает «Лаборатория Касперского» — эксперты расследуют эту атаку и ищут способы борьбы с ним, а так же ищут возможность дешифровки файлов, пострадавших от шифровальщика.

Большая часть пострадавших от атаки находятся в России. Так же известно, что похожие атаки происходят в Украине, Турции и Германии, но в гораздо меньшем количестве. Шифровальщик Bad Rabbit распространяется через ряд заражённых сайтов российских СМИ.

«Лаборатория Каперского» считает, что все признаки указывают на то, что это целенаправленная атака на корпоративные сети. Используются методы, похожие на те, что мы наблюдали в атаке ExPetr, однако связь с ExPetr мы подтвердить не можем.

Уже известно, что продукты «Лаборатории Касперского» детектируют один из компонентов зловреда с помощью облачного сервиса Kaspersky Security Network как UDS:DangerousObject.Multi.Generic, а также с помощью System Watcher как PDM:Trojan.Win32.Generic.

Как защитить себя от вируса Bad Rabbit?

Чтобы не стать жертвой новой эпидемии «Плохого кролика», «Лаборатория Касперского » рекомендуем сделать следующее:

Если у вас установлен Антивирус Касперского, то:

• Проверьте, включены ли в вашем защитном решении компоненты Kaspersky Security Network и «Мониторинг активности» (он же System Watcher). Если нет - обязательно включите.

Для тех, у кого нет данного продукта:

• Заблокируйте исполнение файла c:\windows\infpub.dat, C:\Windows\cscc.dat. Это можно сделать через .
• Запретите (если это возможно) использование сервиса WMI.

Еще очень важный совет от меня:

Всегда делайте backup (бекап — резервная копия ) важных Вам файлов. На съемном носителе, в облачных сервисах! Это сбережет ваши нервы, деньги и время!

Желаю вам не подхватит эту заразу к себе на ПК. Чистого и безопасного Вам интернета!

Bad Rabbit – это вирус, относящийся к шифрующим вирусам-вымогателям. Появился он совсем недавно и нацелен главным образом на компьютеры пользователей России и Украины, а также частично Германии и Турции.

Принцип работы вирусов-шифровальщиков всегда один: попадая на компьютер, вредоносная программа шифрует файлы системы и данные пользователя, блокируя доступ к компьютеру посредством пароля. Все, что отображается на экране, – это окно вируса, требования злоумышленника и номер счета, на который тот требует перевести деньги для разблокировки. После массового распространения криптовалют стало популярно требовать выкуп именно в биткоинах, поскольку операции с ними крайне сложно отследить со стороны. Также поступает и Bad Rabbit. Он использует уязвимости операционной системы, в частности в Adobe Flash Player, и проникает под видом обновления для него.

После заражения BadRabbit создает в папке Windows файл infpub.dat, который создает остальные файлы программы: cscc.dat и dispci.exe, которые вносят свои изменения в настройки MBR диска пользователя и создают свои задачи подобно Планировщику задач. Эта вредоносная программа имеет свой персональный сайт для оплаты выкупа, пользуется сервисом шифрования DiskCryptor, шифрует методами RSA-2048 и AE, а также отслеживает все устройства, подключенные к данному компьютеру, пытаясь заразить и их тоже.

Согласно оценке Symantec вирус получил статус низкой угрозы, а также по утверждению специалистов был создан теми же разработчиками, что и вирусы, обнаруженные за пару месяцев до Bad Rabbit, NotPetya и Petya, поскольку имеет схожие алгоритмы работы. Впервые шифровальщик Bad Rabbit появился в октябре 2017 года и первыми его жертвами стали интернет-газета «Фонтанка», ряд СМИ и сайт информационного агентства «Интерфакс». Компания «Билайн» также была подвержена атаке, но угрозу удалось вовремя предотвратить.

Примечание: К счастью, на данный момент программы по обнаружению подобных угроз уже более эффективны, чем раньше, и риск заражения этим вирусом снизился.

Удаление вируса Bad Rabbit

Восстановление загрузчика

Как и в большинстве случаев подобного типа, для устранения угрозы можно попробовать восстановить загрузчик Windows. В случае с Windows 10 и Windows 8 для этого необходимо подключить установочный дистрибутив системы на USB или DVD, и, загрузившись с него, перейти к опции «Исправление вашего компьютера». После этого нужно перейти в «Устранение неполадок» и выбрать «Командную строку».

Теперь осталось ввести команды одну за другой, каждый раз нажимая Enter после ввода очередной команды:

1. bootrec /FixMbr
2. bootrec /FixBoot
3. bootrec /ScanOs
4. bootrec /RebuildBcd

После проведенных операций – выход и перезагрузка. Чаще всего этого хватает для решения проблемы.
Для Windows 7 действия те же, только там «Командная строка» находится в «Опциях системного восстановления» на установочном дистрибутиве.

Устранение вируса через Безопасный режим

Для использования этого способа необходимо войти в безопасный режим с поддержкой сети. Именно с поддержкой сети, а не простой Безопасный режим. В Windows 10 это можно сделать опять же через установочный дистрибутив. Загрузившись с него, в окне с кнопкой «Установить» необходимо нажать комбинацию из клавиш Shift+F10 и в поле ввести:

bcdedit /set {default} safeboot network

В Windows 7 можно просто несколько раз прожать F8 во время включения компьютера и в появившемся меню выбрать этот режим загрузки из списка.
После входа в безопасный режим главная цель – просканировать операционную систему на наличие угроз. Сделать это лучше через проверенные временем утилиты, такие как Reimage или Malwarebytes Anti-Malware.

Устранение угрозы с помощью Центра восстановления

Для использования данного способа необходимо снова задействовать «Командную строку», как из инструкции выше, а после ее запуска ввести cd restore и подтвердить нажатием Enter. После этого нужно ввести rstrui.exe. Откроется окно программы, в котором можно вернуться на предыдущую точку восстановления, предшествующую заражению.

24 октября российские СМИ, а также транспортные компании и государственные учреждения Украины подверглись атаке шифровальщика Bad Rabbit («Плохой кролик»). По данным открытых источников, в числе пострадавших Киевский метрополитен, аэропорт Одессы, Министерство инфраструктуры Украины, редакции «Интерфакса» и «Фонтанки».

По данным вирусной лаборатории ESET, в атаке на Киевский метрополитен использовалось вредоносное ПО Diskcoder.D - новая модификация шифратора, известного как Petya.

Специалисты по информационной безопасности из Group-IB установили, что атака готовилась несколько дней. В ESET предупреждают, что шифровальщик проникает в компьютер через поддельное обновление плагина Adobe Flash. После этого он заражает ПК и шифрует файлы на нем. Затем на мониторе появляется сообщение о том, что компьютер заблокирован, а для расшифровки файлов необходимо зайти на сайт Bad Rabbit - caforssztxqzf2nm.onion через браузер Tor.

Эпидемии шифровальщиков WannaCry и NotPetya показали, что необходимо вовремя обновлять установленные программы и систему, а также делать резервные копии, чтобы не остаться без важной информации после атаки вирусов.

Однако, если заражение произошло эксперты из Group-IB не рекомендуем платить выкуп, так как:

• таким образом вы помогаете преступникам;
• у нас нет доказательств, что данные тех, кто заплатил, были восстановлены.

Как защитить компьютер от заражения Bad Rabbit?

Чтобы не стать жертвой новой эпидемии Bad Rabbit («Плохой кролик»), специалисты «Лаборатории Касперского» рекомендуют сделать следующее:

Для пользователей антивирусных решений «Лаборатории Касперского»:

• Проверьте, включены ли в вашем защитном решении компоненты Kaspersky Security Network и «Мониторинг активности» (он же System Watcher). Если нет - обязательно включите.

Для тех, кто не пользуется антивирусными решениями «Лаборатории Касперского».

Конец октября этого года был ознаменован появлением нового вируса, который активно атаковал компьютеры корпоративных и домашних пользователей. Новый вирус является шифровальщиком и называется Bad Rabbit, что в переводе означает плохой кролик. С помощью этого вируса были атакованы сайты нескольких российских средств массовой информации. Позже вирус был обнаружен и в информационных сетях украинских предприятий. Там были атакованы информационные сети метрополитена, различных министерств, международных аэропортов и прочее. Немного позже аналогичная вирусная атака наблюдалась в Германии и Турции, хотя ее активность была существенно ниже, нежели на Украине и в России.

Вредоносный вирус представляет собой специальный плагин, который после попадания на компьютер, производит шифрование его файлов. После того, как информация была зашифрована, злоумышленники пытаются получить вознаграждение от пользователей за расшифровку их данных.

Распространение вируса

Специалисты лаборатории по разработке антивирусных программ ESET проанализировали алгоритм работы пути распространения вируса и пришли к выводам, что он является модифицированным вирусом, который не так давно распространялся, как вирус Petya.

Специалисты лаборатории ESET вычислили, что распространение вредоносных плагинов производилось с ресурса 1dnscontrol.com и IP-адреса IP5.61.37.209. С эти доменом и IP также связаны еще несколько ресурсов, среди которых secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.

Специалистами было расследовано, что владельцами этих сайтов зарегистрировано множество различных ресурсов, например, такие через которые, с помощью спам рассылки пытаются реализовать контрафактные медикаменты. Специалисты ESET не исключают, что именно с помощью этих ресурсов, используя спам рассылку и фишинг, и была осуществлена основная кибератака.

Как происходит заражение вирусом Bad Rabbit

Специалистами лаборатории компьютерной криминалистики проводилось расследование, каким образом вирус попадал на компьютеры пользователей. Было выявлено, что в большинстве случаев вирус-шифровальщик Bad Rabbit распространялся, как обновление к Adobe Flash. То есть вирус не использовал какие-либо уязвимости операционной системы, а устанавливался самими пользователями, которые, не ведая об этом, одобряли его установку, думая, что они обновляют плагин Adobe Flash. Когда вирус попадал в локальную сеть, он производил кражу из памяти логинов и паролей и самостоятельно распространялся на другие компьютерные системы.

Как хакеры вымогают деньги

После того как вирус-шифровальщик был установлен на компьютере он производит шифрование хранимой информации. Далее пользователи получают сообщение, в котором указывается, что для того чтобы получить доступ к своим данным следует выполнить платеж на указанном сайте в даркнете. Для этого изначально нужно установить специальный браузер Tor. За то, что компьютер будет разблокирован, злоумышленники вымогают оплату в сумме 0,05 биткоина. На сегодняшний день, по цене за 1 Bitcoin 5600 долларов, это приблизительно составляет 280 долларов за разблокировку компьютера. На то чтобы произвести оплату пользователю предоставляется временной срок равный 48-ми часам. По истечению этого срока, если требуемая сумма не была переведена на электронный счет злоумышленника, сумма увеличивается.

Как защититься от вируса

1. Чтобы защитить себя от заражения вирусом Bad Rabbit следует заблокировать доступ из информационной среды к указанным выше доменам.
2. Для домашних пользователей нужно произвести обновление текущей версии Windows а также антивирусной программы. В таком случае вредоносный файл будет детектироваться, как вирус вымогатель, что исключит возможность его установки на компьютере.
3. Те пользователи, которые используют встроенный антивирус операционной системы Windows, уже имеют защиту от этих вымогателей. Она реализована в приложении Windows Defender Antivirus.
4. Разработчики антивирусной программы из лаборатории Касперского советуют всем пользователям периодически делать бэкап своих данных. Кроме этого специалисты рекомендуют блокировать выполнение файлов c:\windows\infpub.dat, c:\WINDOWS\cscc.dat, а также, если есть возможность, то нужно запретить использование WMI-сервиса.

Заключение

Каждый из пользователей компьютера должен помнить, что кибербезопасность при работе в сети должна быть на первом месте. Поэтому всегда нужно следить за использованием только проверенных информационных ресурсов и аккуратно использовать электронную почту и социальные сети. Именно через эти ресурсы наиболее часто и осуществляется распространение различных вирусов. Элементарные правила поведения в информационной среде позволят исключить проблем, которые возникают при вирусной атаке.