Новый вирус-шифровальщик Bad Rabbit ("Плохой кролик") во вторник атаковал сайты ряда российских СМИ. В частности, атакам подверглись информационные системы агентства "Интерфакс", а также сервер петербургского новостного портала "Фонтанка". После полудня Bad Rabbit начал распространяться на Украине - вирус поразил компьютерные сети Киевского метрополитена, министерства инфраструктуры, международного аэропорта Одессы. Похожие атаки наблюдаются в Турции и Германии, хотя и в значительно меньшем количестве. ТАСС объясняет, что это за вирус, как от него уберечься и кто может за ним стоять.

Bad Rabbit - это вирус-шифровальщик

Вредоносная программа заражает компьютер, шифруя на нем файлы. Для получения доступа к ним вирус предлагает совершить платеж на указанном сайте в даркнете (для этого потребуется браузер Tor). За разблокировку каждого компьютера хакеры требуют заплатить 0,05 биткойна, то есть примерно 16 тыс. рублей или $280. На выкуп отводится 48 часов — после истечения этого срока сумма увеличивается.

По лаборатории компьютерной криминалистики компании Group-IB, вирус-шифровальщик пытался атаковать не только российские СМИ, но и российские банки из топ-20, однако ему это не удалось.

По вирусной лаборатории ESET, в атаке использовалось вредоносное программное обеспечение Diskcoder.D — новая модификация шифратора, известного как Petya. Предыдущая версия Diskcoder была задействована в в июне 2017 года. В Group-IB , что вирус Bad Rabbit мог написать автор NotPetya (это обновленная версия "Пети" 2016 года) или его последователь.

"Раздача вредоносного ПО проводилась с ресурса 1dnscontrol.com. Он имеет IP 5.61.37.209, с этим доменным именем и IP-адресом связаны следующие ресурсы: webcheck01.net, webdefense1.net, secure-check.host, firewebmail.com, secureinbox.email, secure-dns1.net", — ТАСС в Group-IB. В компании отметили, что на владельцев этих сайтов зарегистрировано множество ресурсов, например, так называемые фарм-партнерки — сайты, которые через спам продают контрафактные медикаменты. "Не исключено, что они использовались для рассылки спама, фишинга", — добавили в компании.

Bad Rabbit распространялся под видом обновления плагина Adobe Flash

Пользователи самостоятельно одобряли установку этого обновления и таким образом заражали свой компьютер. "Никаких уязвимостей вообще не было, пользователи сами запускали файл", — замглавы лаборатории компьютерной криминалистики Group-IB Сергей Никитин. Попав в локальную сеть, Bad Rabbit крадет из памяти логины и пароли и может самостоятельно устанавливаться на другие компьютеры.

Вируса достаточно легко избежать

Чтобы защититься от заражения Bad Rabbit, компаниям достаточно заблокировать указанные домены для пользователей корпоративной сети. Домашним пользователям следует обновить Windows и антивирусный продукт — тогда этот файл будет детектироваться как вредоносный.

Пользователи встроенного антивируса операционной системы Windows — Windows Defender Antivirus — уже от Bad Rabbit. "Мы продолжаем расследование, и при необходимости мы примем дополнительные меры по защите наших пользователей", — ТАСС пресс-секретарь корпорации Microsoft в России Кристина Давыдова.

"Лаборатория Касперского" также подготовила для того, чтобы не стать жертвами новой эпидемии. Производитель антивирусов посоветовал всем сделать бэкап (резервное копирование). Кроме того, компания рекомендовала заблокировать исполнение файла c:\windows\infpub.dat, C:\Windows\cscc.dat, а также, если возможно, запретить использование сервиса WMI.

Минкомсвязи считает, что атака на российские СМИ не была целенаправленной

"При всем уважении к большим СМИ, это не критический объект инфраструктуры", — глава Минкомсвязи Николай Никифоров, добавив, что какую-то определенную цель хакеры вряд ли преследовали. По его мнению, такие атаки, в частности, связаны с нарушением мер безопасности при подключении к "открытому интернету". "Скорее всего, эта информационная система ("Интерфакса" — прим. ТАСС) не сертифицирована", — предположил министр.

Основная волна распространения вируса уже завершилась

"Сейчас можно говорить о прекращении активного распространения вируса, третья эпидемия практически завершилась. Даже домен, через который распространялся Bad Rabbit, уже не отвечает", — в Group-IB. По словам Сергея Никитина, возможны единичные случаи заражения вирусом, в частности в корпоративных сетях, где уже были украдены логины и пароли, и вирус может установиться сам, без участия пользователя. Однако уже можно говорить о завершении основной волны третьей эпидемии вируса-шифровальщика в 2017 году.

Напомним, что в мае компьютеры по всему миру атаковал вирус . На зараженных компьютерах блокировалась информация, а за разблокировку данных злоумышленники требовали $600 в биткойнах. В июне другой вирус под названием Petya атаковал нефтяные, телекоммуникационные и финансовые компании России, Украины и некоторые страны ЕС. Принцип его действия был таким же: вирус шифровал информацию и требовал выкуп в размере $300 в биткойнах.

Вирус-шифровальщик Bad Rabbit или Diskcoder.D. aтaкуeт кopпopaтивныe ceти бoльшиx и cpeдниx opгaнизaций, блoкиpуя вce ceти.

Bad Rabbit или "плохой кролик" трудно назвать первопроходцем - ему предшествовали вирусы-шифровальщики Petya и WannaCry.

Bad Rabbit — что за вирус

Схему распространения нового вируса исследовали эксперты антивирусной компании ESET и выяснили, что Bad Rabbit проникал на компьютеры жертв под видом обновления Adobe Flash для браузера.

В антивирусной компании считают, что шифратор Win32/Diskcoder.D, получивший название Bad Rabbit - модифицированная версия Win32/Diskcoder.C, более известного как Petya/NotPetya, который поразил IT-системы организаций в нескольких странах в июне. На связь Bad Rabbit с NotPetya указывают совпадения в коде.

В атаке используется программа Mimikatz, которая перехватывает на зараженной машине логины и пароли. Также в коде имеются уже прописанные логины и пароли для попыток получения административного доступа.

В новой вредоносной программе исправлены ошибки в шифровании файлов — код, использованный в вирусе, предназначен для шифрования логических дисков, внешних USB-накопителей и образов CD/DVD, а также загрузочных системных разделов диска. Так, что экспертам по дешифровке придется потратить много времени, чтобы раскрыть секрет вируса Bad Rabbit, утверждают специалисты.

Новый вирус, как утверждают специалисты, действует пo cтaндapтнoй для шифpoвaльщикoв cxeмe — пoпaдaя в cиcтeму неизвестно откуда, oн кoдиpуeт фaйлы, зa pacшифpoвку кoтopыx xaкepы тpeбуют выкуп в биткоинах.

Разблокировка одного компьютера обойдется в 0,05 биткоина, что составляет порядка 283 долларов по текущему курсу. В случае выплаты выкупа мошенники вышлют специальный код-ключ, который позволит восстановить нормальную работу системы и не потерять все.

Если пользователь не переведет средства в течение 48 часов, размер выкупа вырастет.

Но, стоит помнить, что выплата выкупа - может быть ловушкой, которая не гарантирует разблокировку компьютера.

В ESET отмечают, что в настоящее время связь вредоносной программы с удаленным сервером отсутствует.

Вирус больше всего поразил российских пользователей, в меньшей степени — компании в Германии, Турции и на Украине. Распространение происходило через зараженные СМИ. Известные зараженные сайты уже заблокированы.

В ESET считают, что статистика атак в значительной степени соответствует географическому распределению сайтов, содержащих вредоносный JavaScript.

Как защититься

Специалисты компании Group-IB, которая занимается предотвращением и расследованием киберпреступностей, дали рекомендации, как защититься от вируса Bad Rabbit.

В частности, для защиты от сетевого вредителя нужно создать на своем компьютере файл C:\windows\infpub.dat, при этом в разделе администрирования установить для него права "только для чтения".

Этим действием исполнение файла будет заблокировано, и все поступающие извне документы не будут зашифрованы даже в том случае, если окажутся зараженными. Нужно создать резервную копию всех ценных данных, чтобы в случае заражения не потерять их.

Специалисты Group-IB также советуют заблокировать ip-адреса и доменные имена, с которых происходило распространение вредоносных файлов, поставить пользователям блокировку всплывающих окон.

Рекомендуется также оперативно изолировать компьютеры в системе обнаружения вторжений. Пользователям ПК следует также проверить актуальность и целостность резервных копий ключевых сетевых узлов и обновить операционные системы и системы безопасности.

"В части парольной политики: настройками групповой политики запретите хранение паролей в LSA Dump в открытом виде. Смените все пароли на сложные", — добавили в компании.

Предшественники

Вирус WannaCry в мае 2017 года распространился не менее чем в 150 странах мира. Он шифровал информацию и требовал заплатить выкуп, по разным данным, от 300 до 600 долларов.

От него пострадали свыше 200 тысяч пользователей. По одной из версий, его создатели взяли за основу вредоносную программу АНБ США Eternal Blue.

Глобальная атака вируса-вымогателя Petya 27 июня поразила IT-системы компаний в нескольких странах мира, в большей степени затронув Украину.

Атаке подверглись компьютеры нефтяных, энергетических, телекоммуникационных, фармацевтических компаний, а также госорганов. Киберполиция Украины заявила, что атака вируса-вымогателя произошла посредством программы "M.E.doc".

Материал подготовлен на основе открытых источников

Во вторник атаке вируса-вымогателя Bad Rabbit подверглись компьютеры в РФ, на Украине, в Турции и Германии. Вирус удалось быстро блокировать, однако специалисты по компьютерной безопасности предупреждают о приближении нового "киберурагана".

Вирусные атаки начались в середине дня на Украине: вирус поразил компьютерные сети Киевского метрополитена, министерства инфраструктуры, международного аэропорта Одессы. Bad Rabbit шифровал файлы на компьютерах и требовал выкуп в размере 0,05 биткойна.

Чуть позже атакам подверглись российское информационное агентство "Интерфакс" и сервер петербургского новостного портала "Фонтанка", в результате чего эти два СМИ были вынуждены остановить работу. По данным компании Group-IB, работающей в сфере расследования киберпреступлений, во вторник с 13:00 до 15:00 мск Bad Rabbit пытался также атаковать крупные российские банки, но безуспешно. Компания ESET сообщила, что вирусные атаки затронули пользователей из Болгарии, Турции и Японии.

Bad Rabbit распространялся под видом фальшивых обновлений и установщиков Adobe Flash. При этом фальшивки были подписаны поддельными сертификатами, имитирующими сертификаты компании Symantec.

Спустя всего несколько часов после начала атаки анализ вируса осуществили едва ли не все крупнейшие компании в сфере интернет-безопасности. Специалисты ESET, Proofpoint и "Лаборатории Касперского" выяснили, что Bad Rabbit распространялся под видом фальшивых обновлений и установщиков Adobe Flash. При этом фальшивки были подписаны поддельными сертификатами, имитирующими сертификаты компании Symantec.

Bad Rabbit распространяли сразу несколько взломанных сайтов, в основном принадлежащих СМИ. Установлено также, что атака готовилась несколько дней: последние обновления программы были сделаны еще 19 октября 2017 года.

Наследник "Пети"

Это третья глобальная атака вирусов-вымогателей в этом году. 12 мая вирус WannaCry заразил более 300 тысяч компьютеров в 150 странах мира. WannaCry шифровал файлы пользователей, за расшифровку вымогатели требовали заплатить 600 долларов в криптовалюте биткойн. От вирусных атак, в частности, пострадали Национальная система здравоохранения Великобритании, испанская телекоммуникационная компания Telefonica, российские МЧС, МВД, РЖД, Сбербанк, "Мегафон" и "Вымпелком".

Общий ущерб от WannaCry превысил 1 млрд долларов. При этом, по данным американских экспертов, вымогатели получили всего 302 платежа на общую сумму 116,5 тысяч долларов.

Специалисты установили, что WannaCry был сделан на основе хакерской программы EternalBlue, созданной в АНБ США и украденной хакерами. Президент Microsoft Брэд Смит в связи с этим заявил, что массовая атака вируса WannaCry стала возможной из-за того, что ЦРУ и Агентство национальной безопасности (АНБ) США в своих интересах собирают данные об уязвимостях в программном обеспечении.

Атака WannaCry выявляет тревожную связь между двумя самыми серьезными формами киберугроз − действиями государств и преступных групп.

Брэд Смит

президент Microsoft

27 июня 2017 года начались атаки вируса-шифровальщика NotPetya. Вирус распространялся через ссылки в сообщениях электронной почты и блокировал доступ пользователя к жесткому диску компьютера. Как и в случае с WannaCry, хакеры требовали выкуп за восстановление работоспособности компьютера, но на этот раз только 300 долларов в биткойнах.

От атаки NotPetya пострадали десятки российских компаний, в том числе "Роснефть", "Башнефть", "Евраз", российские офисы компаний Mars, Mondeles и Nivea. На Украине вирусной атаке подверглись компьютеры "Киевэнерго", "Укрэнерго", Ощадбанка, концерна "Антонов" и Чернобыльской АЭС. Как и WannaCry, NotPetya был создан на основе инструмента EternalBlue, разработанного в АНБ США.

По мнению экспертов, автором нового вируса-шифровальщика BadRabbit могли быть тот же хакер или группа хакеров, которые написали NotPetya: в коде обоих вирусов обнаружены совпадающие фрагменты. Аналитики компании Intezer подсчитали, что исходный код двух вирусов совпадает на 13%.

Bad Rabbit является модифицированной версией NotPetya с исправленными ошибками в алгоритме шифрования.

Компания Group-IB

Специалисты ESET и "Лаборатории Касперского" также допускают, что Bad Rabbit может являться прямым "наследником" NotPetya, однако отмечают, что в "Плохом кролике" в отличие от двух предыдущих вирусов-вымогателей не используется инструмент EternalBlue.

Как защититься от "Плохого кролика"

Специалисты по интернет-безопасности сообщают, что распространение Bad Rabbit уже прекращено, однако советуют предпринять меры безопасности. Group-IB дала в своем Telegram-канале рекомендации, что делать, чтобы вирус не смог зашифровать ваши файлы.

Необходимо создать файл C:\windows\infpub.dat и поставить ему права "только для чтения" <...> После этого даже в случае заражения файлы не будут зашифрованы.

Компания Group-IB

специализируется на расследованиях киберпреступлений

Чтобы избежать масштабного заражения, необходимо оперативно изолировать компьютеры, которые были замечены в пересылке подобных вредоносных файлов, отметили в компании. Кроме того, пользователям следует убедиться в актуальности и целостности резервных копий ключевых сетевых узлов.

Также рекомендуется обновить операционные системы и системы безопасности и при этом заблокировать IP-адреса и доменные имена, с которых происходило распространение вредоносных файлов. Кроме того, Group-IB рекомендует сменить все пароли на более сложные и включить блокировку всплывающих окон.

Худшее, возможно, впереди

За два дня до атаки "Плохого кролика" ведущая норвежская газета Dagbladet опубликовала большую статью, в которой предупреждала о приближении "кибершторма невиданной силы, который может отключить мировой интернет". "Наши исследования показывают, что сейчас затишье перед мощнейшей бурей. Надвигается киберураган", – цитирует Dagbladet сообщение израильской компании по защите от вирусов Check Point.

Согласно данным Check Point, неизвестные хакеры в настоящее время создают гигантскую бот-сеть Reaper, заражая такие подключенные к интернету устройства, как роутеры и даже фотокамеры. Специалисты компании подчеркивают, что в данном случае хакеры сосредоточились на "интернете вещей" − подключенных к Мировой паутине "умных" устройствах (от лампочек, дверных замков, видеокамер наблюдения до холодильников и кофеварок), которыми можно управлять через мобильные приложения или интернет.

Большая часть таких устройств (подключенных к интернету лампочек, видеокамер и т. п.) имеет громадные уязвимости. Товары обычно доставляются с фамилией пользователя и стандартным паролем, а программное обеспечение редко обновляется. Поэтому они очень уязвимы для хакерских атак.

специализируется на защите от вирусов

Специалисты компании в конце сентября обнаружили, что огромное количество подобных объектов было "завербовано" хакерами, чтобы распространить вирус на другие вещи. Таким образом, вирус распространяется все быстрее и уже заразил миллионы устройств во всем мире, включая большинство роутеров D-Link, Netgear и Linksys, а также соединенные с интернетом камеры наблюдения таких компаний, как Vacron, GoAhead и AVTech.

Бот-сеть Reaper пока не проявляла какой-либо активности, но китайская компания по защите от вирусов Qihoo 360 предупреждает, что вирус может активироваться в любой момент, результатом чего станет отключение больших участков интернета.

Вирус-шифровальщик, известный как Bad Rabbit, атаковал десятки тысяч компьютеров на Украине, в Турции и Германии. Но больше всего атак пришлось на Россию. Что это за вирус и как защитить свой компьютер, рассказываем в нашей рубрике "Вопрос-ответ".

Кто пострадал в России от Bad Rabbit?

Вирус-шифровальщик Bad Rabbit начал распространяться 24 октября. В числе пострадавших от его действия значатся информагентство "Интерфакс", издание "Фонтанка.ру".

Также от действий хакеров пострадали метрополитен Киева и аэропорт Одессы. После стало известно о попытке взлома системы нескольких российских банков из топ-20.

По всем признакам это целенаправленная атака на корпоративные сети, поскольку используются методы, похожие на те, что наблюдались при атаке вируса ExPetr.

Новый вирус всем предъявляет одно требование: выкуп 0,05 биткоина. В пересчете на рубли это около 16 тысяч рублей. При этом он сообщает, что время на исполнение этого требования ограничено. На все про все дается чуть больше 40 часов. Далее плата за выкуп повысится.

Что это за вирус и как он работает?

Удалось уже выяснить, кто стоит за его распространением?

Выяснить, кто стоит за этой атакой, пока не удалось. Расследование только привело программистов к доменному имени.

Специалисты антивирусных компаний отмечают сходство нового вируса с вирусом Petya.

Но, в отличие от прошлых вирусов этого года, в этот раз хакеры решили пойти простым путем, сообщает 1tv.ru .

"По-видимому, преступники ожидали, что в большинстве компаний пользователи обновят свои компьютеры после двух этих атак, и решили испробовать достаточно дешевое средство - социальную инженерию, чтобы первое время относительно незаметно заражать пользователей", – сообщил руководитель отдела антивирусных исследований "Лаборатории Касперского" Вячеслав Закоржевский.

Как защитить свой компьютер от вируса?

Обязательно сделайте резервную копию вашей системы. Если вы используете для защиты Касперский, ESET, Dr.Web либо другие популярные аналоги, следует оперативно обновить базы данных. Также для Касперского необходимо включить "Мониторинг активности" (System Watcher), а в ESET применить сигнатуры с обновлением 16295, информирует talkdevice .

Если у вас нет антивирусников, заблокируйте исполнение файлов C:\Windows\infpub.dat и C:\Windows\cscc.dat. Делается это через редактор групповых политик либо программу AppLocker для Windows.

Запретите выполнение службы - Windows Management Instrumentation (WMI). Через правую кнопку войдите в свойства службы и выберите в "Тип запуска" режим "Отключена".