ไวรัสแรนซัมแวร์ที่รู้จักกันในชื่อ Bad Rabbit ได้โจมตีคอมพิวเตอร์หลายหมื่นเครื่องในยูเครน ตุรกี และเยอรมนี แต่การโจมตีส่วนใหญ่เกิดขึ้นในรัสเซีย นี่คือไวรัสประเภทใดและจะป้องกันคอมพิวเตอร์ของคุณได้อย่างไร เราจะแจ้งให้คุณทราบในส่วนคำถามและคำตอบของเรา
ใครบ้างที่ต้องทนทุกข์ทรมานจาก Bad Rabbit ในรัสเซีย?
ไวรัสแรนซั่มแวร์ Bad Rabbit เริ่มแพร่กระจายเมื่อวันที่ 24 ตุลาคม ในบรรดาเหยื่อของการกระทำของเขา ได้แก่ สำนักข่าว Interfax และสิ่งพิมพ์ Fontanka.ru
รถไฟใต้ดินเคียฟและสนามบินโอเดสซาก็ได้รับผลกระทบจากการกระทำของแฮกเกอร์เช่นกัน จากนั้นก็เป็นที่ทราบกันดีถึงความพยายามที่จะแฮ็กระบบของธนาคารรัสเซียหลายแห่งจาก 20 อันดับแรก
จากข้อบ่งชี้ทั้งหมด นี่เป็นการโจมตีแบบกำหนดเป้าหมายบนเครือข่ายองค์กร เนื่องจากใช้วิธีการที่คล้ายคลึงกับที่พบในการโจมตีด้วยไวรัส ExPetr
ไวรัสตัวใหม่เรียกร้องสิ่งหนึ่งจากทุกคน: ค่าไถ่ 0.05 Bitcoin ในแง่ของรูเบิลนี่คือประมาณ 16,000 รูเบิล อย่างไรก็ตาม เขารายงานว่าเวลาในการปฏิบัติตามข้อกำหนดนี้มีจำกัด ให้เวลามากกว่า 40 ชั่วโมงเล็กน้อยสำหรับทุกสิ่ง นอกจากนี้ค่าธรรมเนียมการไถ่ถอนจะเพิ่มขึ้น
ไวรัสนี้คืออะไรและทำงานอย่างไร?
คุณรู้แล้วหรือยังว่าใครอยู่เบื้องหลังการแพร่กระจายของมัน?
ยังไม่สามารถระบุได้ว่าใครอยู่เบื้องหลังการโจมตีครั้งนี้ การสอบสวนนำเฉพาะโปรแกรมเมอร์ไปยังชื่อโดเมนเท่านั้น
ผู้เชี่ยวชาญจากบริษัทแอนตี้ไวรัสสังเกตความคล้ายคลึงกันของไวรัสตัวใหม่กับไวรัส Petya
แต่ปีนี้ไม่เหมือนกับไวรัสรุ่นก่อนๆ คราวนี้แฮกเกอร์ตัดสินใจใช้เส้นทางง่ายๆ รายงาน 1tv.ru
“เห็นได้ชัดว่าอาชญากรคาดว่าในบริษัทส่วนใหญ่ ผู้ใช้จะอัปเดตคอมพิวเตอร์ของตนหลังจากการโจมตีสองครั้งนี้ และตัดสินใจลองใช้วิธีที่ค่อนข้างถูก นั่นคือวิศวกรรมสังคม เพื่อที่จะแพร่เชื้อไปยังผู้ใช้ค่อนข้างเงียบในตอนแรก” หัวหน้าฝ่ายต่อต้าน- กล่าว แผนกวิจัยไวรัสที่ Kaspersky Lab
จะป้องกันคอมพิวเตอร์ของคุณจากไวรัสได้อย่างไร?
อย่าลืมสำรองข้อมูลระบบของคุณ หากคุณใช้ Kaspersky, ESET, Dr.Web หรือแอนะล็อกยอดนิยมอื่นๆ ในการป้องกัน คุณควรอัปเดตฐานข้อมูลทันที นอกจากนี้สำหรับ Kaspersky คุณต้องเปิดใช้งาน "การตรวจสอบกิจกรรม" (System Watcher) และใน ESET คุณต้องใช้ลายเซ็นพร้อมอัปเดต 16295 แจ้ง talkdevice
หากคุณไม่มีโปรแกรมป้องกันไวรัส ให้บล็อกการทำงานของไฟล์ C:\Windows\infpub.dat และ C:\Windows\cscc.dat ซึ่งทำได้ผ่านตัวแก้ไขนโยบายกลุ่มหรือโปรแกรม AppLocker สำหรับ Windows
หยุดบริการไม่ให้ทำงาน - Windows Management Instrumentation (WMI) ใช้ปุ่มขวาป้อนคุณสมบัติบริการและเลือกโหมด "ปิดใช้งาน" ใน "ประเภทการเริ่มต้น"
สื่อรัสเซียและองค์กรยูเครนหลายแห่งถูกโจมตีโดยแรนซั่มแวร์ Bad Rabbit โดยเฉพาะอย่างยิ่งแฮกเกอร์โจมตีสื่อรัสเซียสามแห่ง รวมถึง Interfax และ Fontanka
เมื่อวันที่ 24 ตุลาคม การโจมตีทางไซเบอร์ครั้งใหญ่ครั้งใหม่ได้เริ่มใช้ไวรัสแรนซัมแวร์ Bad Rabbit มัลแวร์ดังกล่าวส่งผลกระทบต่อเครือข่ายคอมพิวเตอร์ของรถไฟใต้ดินเคียฟ กระทรวงโครงสร้างพื้นฐาน และสนามบินนานาชาติโอเดสซา เหยื่อหลายรายยังลงเอยที่รัสเซีย ผลจากการโจมตีทำให้กองบรรณาธิการของสื่อของรัฐบาลกลาง เช่น Interfax และ Fontanka ได้รับความเสียหาย
Kill Switch: คุณต้องสร้างไฟล์ C:\windows\infpub.dat และให้สิทธิ์แบบอ่านอย่างเดียวแก่มัน ในกรณีนี้ แม้ว่าจะติดไวรัส ไฟล์จะไม่ได้รับการเข้ารหัส
เป็นไปได้มากว่าไวรัสแพร่กระจายผ่านเว็บไซต์ที่ถูกแฮ็ก แจ้งให้ผู้ใช้ติดตั้งการอัปเดต Flash Player:
การวิเคราะห์เบื้องต้นแสดงให้เห็นว่ามัลแวร์แพร่กระจายผ่านเว็บไซต์สื่อรัสเซียที่ติดไวรัสจำนวนหนึ่ง สัญญาณทั้งหมดชี้ว่านี่เป็นการโจมตีแบบกำหนดเป้าหมายบนเครือข่ายองค์กร
หลังจากเจาะคอมพิวเตอร์ของเหยื่อแล้ว มัลแวร์จะเข้ารหัสไฟล์ของผู้ใช้ เพื่อคืนค่าการเข้าถึงข้อมูลที่เข้ารหัส เสนอให้จ่ายค่าไถ่ 0.05 bitcoin ซึ่งตามอัตราแลกเปลี่ยนปัจจุบันจะอยู่ที่ประมาณ 283 ดอลลาร์สหรัฐหรือ 15,700 รูเบิล ในเวลาเดียวกัน ผู้โจมตีเตือนว่าหากล่าช้า ราคาสำหรับการถอดรหัสจะเพิ่มขึ้น
รายละเอียดเกี่ยวกับแผนการจัดจำหน่ายของ Bad Rabbit ยังไม่มีให้บริการ ยังไม่ชัดเจนว่าสามารถถอดรหัสไฟล์ได้หรือไม่ แต่เป็นที่ทราบกันดีอยู่แล้วว่าผู้ที่ตกเป็นเหยื่อของการโจมตีส่วนใหญ่อยู่ในรัสเซีย นอกจากนี้ การโจมตีที่คล้ายกันนี้บันทึกไว้ในยูเครน ตุรกี และเยอรมนี แต่ในจำนวนที่น้อยกว่ามาก
บริการกดของ Kyiv Metro ยังรายงานเกี่ยวกับการโจมตีของแฮ็กเกอร์ด้วย แฮกเกอร์สามารถขัดขวางความสามารถในการชำระค่าเดินทางโดยใช้บัตรธนาคารแบบไร้สัมผัส "ความสนใจ! การโจมตีทางไซเบอร์! รถไฟใต้ดินเปิดให้บริการตามปกติ ยกเว้นบริการธนาคาร (ชำระเงินด้วยบัตรธนาคารแบบไร้สัมผัสที่ประตูหมุนสีเหลืองหรือ MasterPass)” บัญชีอย่างเป็นทางการของรถไฟใต้ดินเคียฟในรายงานของ Facebook
ผู้โจมตีขอให้เหยื่อไปตามลิงก์ที่นำไปสู่ไซต์ TOR ซึ่งมีการเปิดตัวเคาน์เตอร์อัตโนมัติ หลังจากชำระเงินแล้ว ตามที่ผู้โจมตีระบุ เหยื่อควรได้รับคีย์ถอดรหัสส่วนตัว
ยังไม่ทราบวิธีการแจกจ่ายและรวมในระบบ และยังไม่มีข้อมูลที่เชื่อถือได้เกี่ยวกับความพร้อมใช้งานของคีย์ถอดรหัส
เจ้าหน้าที่ของ Kaspersky Lab แนะนำให้ดำเนินการดังต่อไปนี้:
บล็อกการทำงานของไฟล์ c:\windows\infpub.dat, C:\Windows\cscc.datโพสต์จะได้รับการอัปเดตเมื่อมีข้อมูล
ปิดการใช้งาน (ถ้าเป็นไปได้) การใช้บริการ WMI
Kaspersky Lab เชื่อว่าอาจเป็นลางสังหรณ์ของไวรัสเข้ารหัสระลอกที่สาม สองคนแรกคือ WannaCry และ Petya ที่น่าตื่นเต้น (aka NotPetya) ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์บอกกับ MIR 24 เกี่ยวกับการเกิดขึ้นของมัลแวร์เครือข่ายตัวใหม่ และวิธีป้องกันการโจมตีที่ทรงพลัง
เหยื่อของการโจมตี Bad Rabbit ส่วนใหญ่อยู่ในรัสเซีย มีน้อยกว่าอย่างเห็นได้ชัดในยูเครน ตุรกี และเยอรมนี หัวหน้าแผนกวิจัยแอนติไวรัสของ Kaspersky Lab กล่าว วยาเชสลาฟ ซาคอร์เซฟสกี- อาจเป็นไปได้ว่าประเทศที่มีการใช้งานมากเป็นอันดับสองคือประเทศที่ผู้ใช้ตรวจสอบทรัพยากรอินเทอร์เน็ตของรัสเซียอย่างแข็งขัน
เมื่อมัลแวร์แพร่ระบาดในคอมพิวเตอร์ มันจะเข้ารหัสไฟล์ในเครื่องนั้น มันถูกเผยแพร่โดยใช้การเข้าชมเว็บจากแหล่งข้อมูลอินเทอร์เน็ตที่ถูกแฮ็ก ซึ่งส่วนใหญ่เป็นไซต์ของสื่อของรัฐบาลกลางรัสเซีย เช่นเดียวกับคอมพิวเตอร์และเซิร์ฟเวอร์ของรถไฟใต้ดิน Kyiv กระทรวงโครงสร้างพื้นฐานของยูเครน และสนามบินนานาชาติโอเดสซา ความพยายามโจมตีธนาคารรัสเซียจาก 20 อันดับแรกไม่สำเร็จก็ถูกบันทึกไว้เช่นกัน
ข้อเท็จจริงที่ว่า Fontanka, Interfax และสิ่งพิมพ์อื่นๆ จำนวนหนึ่งถูกโจมตีโดย Bad Rabbit ได้รับการรายงานเมื่อวานนี้โดย Group-IB ซึ่งเป็นบริษัทที่เชี่ยวชาญด้านความปลอดภัยของข้อมูล การวิเคราะห์รหัสไวรัสพบว่า Bad Rabbit มีความเกี่ยวข้องกับ Not Petya ransomware ซึ่งในเดือนมิถุนายนในปีนี้โจมตีบริษัทพลังงาน โทรคมนาคม และการเงินในยูเครน
การโจมตีนี้เตรียมการไว้เป็นเวลาหลายวัน และถึงแม้การติดเชื้อจะมีขนาดใหญ่ แต่แรนซัมแวร์ก็เรียกร้องเงินจำนวนเล็กน้อยจากเหยื่อของการโจมตี - 0.05 bitcoin (ประมาณ 283 ดอลลาร์หรือ 15,700 รูเบิล) มีเวลา 48 ชั่วโมงสำหรับการแลกรางวัล หลังจากช่วงเวลานี้สิ้นสุดลง จำนวนเงินจะเพิ่มขึ้น
ผู้เชี่ยวชาญ Group-IB เชื่อว่าแฮกเกอร์ไม่มีความตั้งใจที่จะทำเงิน เป้าหมายที่เป็นไปได้คือการตรวจสอบระดับการป้องกันเครือข่ายโครงสร้างพื้นฐานที่สำคัญขององค์กร หน่วยงานภาครัฐ และบริษัทเอกชน
เป็นเรื่องง่ายที่จะกลายเป็นเหยื่อของการโจมตี
เมื่อผู้ใช้เยี่ยมชมไซต์ที่ติดไวรัส โค้ดที่เป็นอันตรายจะส่งข้อมูลเกี่ยวกับไซต์นั้นไปยังเซิร์ฟเวอร์ระยะไกล ถัดไป หน้าต่างป๊อปอัปจะปรากฏขึ้นเพื่อขอให้คุณดาวน์โหลดอัปเดตสำหรับ Flash Player ซึ่งเป็นของปลอม หากผู้ใช้อนุมัติการดำเนินการ "ติดตั้ง" ไฟล์จะถูกดาวน์โหลดลงในคอมพิวเตอร์ ซึ่งจะเปิดตัวเข้ารหัส Win32/Filecoder.D ในระบบ ถัดไป การเข้าถึงเอกสารจะถูกบล็อก และข้อความเรียกค่าไถ่จะปรากฏขึ้นบนหน้าจอ
ไวรัส Bad Rabbit จะสแกนเครือข่ายเพื่อหาทรัพยากรเครือข่ายแบบเปิด หลังจากนั้นไวรัสจะเปิดตัวเครื่องมือบนเครื่องที่ติดไวรัสเพื่อรวบรวมข้อมูลประจำตัว และ “พฤติกรรม” นี้แตกต่างจากรุ่นก่อน
ผู้เชี่ยวชาญจากผู้พัฒนาซอฟต์แวร์ป้องกันไวรัสระดับสากล Eset NOD 32 ยืนยันว่า Bad Rabbit เป็นการดัดแปลงใหม่ของไวรัส Petya ซึ่งมีหลักการทำงานเหมือนกัน - ข้อมูลที่เข้ารหัสของไวรัสและเรียกร้องค่าไถ่เป็น bitcoin (จำนวนเงินเทียบเคียงได้ ถึง Bad Rabbit - $300) มัลแวร์ใหม่แก้ไขข้อผิดพลาดในการเข้ารหัสไฟล์ รหัสที่ใช้ในไวรัสได้รับการออกแบบมาเพื่อเข้ารหัสไดรฟ์แบบลอจิคัล ไดรฟ์ USB ภายนอก และอิมเมจซีดี/ดีวีดี รวมถึงพาร์ติชันดิสก์ระบบที่สามารถบูตได้
พูดถึงผู้ชมที่ถูกโจมตีโดย Bad Rabbit หัวหน้าฝ่ายสนับสนุนการขายของ ESET Russia วิตาลี เซมสคิกระบุว่า 65% ของการโจมตีที่หยุดโดยผลิตภัณฑ์ป้องกันไวรัสของบริษัทนั้นเกิดขึ้นในรัสเซีย ภูมิศาสตร์ที่เหลือของไวรัสตัวใหม่มีลักษณะดังนี้:
ยูเครน – 12.2%
บัลแกเรีย – 10.2%
ตุรกี – 6.4%
ญี่ปุ่น – 3.8%
อื่น ๆ – 2.4%
“แรนซัมแวร์ใช้ซอฟต์แวร์โอเพ่นซอร์สที่รู้จักกันดีชื่อ DiskCryptor เพื่อเข้ารหัสไดรฟ์ของเหยื่อ หน้าจอล็อคข้อความที่ผู้ใช้เห็นนั้นแทบจะเหมือนกับหน้าจอล็อคของ Petya และ NotPetya อย่างไรก็ตาม นี่เป็นความคล้ายคลึงเพียงอย่างเดียวที่เราพบเห็นระหว่างมัลแวร์ทั้งสองนี้ ในด้านอื่นๆ ทั้งหมด BadRabbit เป็นแรนซัมแวร์รูปแบบใหม่ที่ไม่เหมือนใคร” ผู้อำนวยการด้านเทคนิคของ Check Point Software Technologies กล่าว นิกิต้า ดูรอฟ.
จะป้องกันตัวเองจาก Bad Rabbit ได้อย่างไร?
เจ้าของระบบปฏิบัติการอื่นที่ไม่ใช่ Windows สามารถถอนหายใจด้วยความโล่งอกได้ เนื่องจากไวรัสแรนซัมแวร์ตัวใหม่ทำให้คอมพิวเตอร์ที่มี "แกน" นี้มีความเสี่ยงเท่านั้น
เพื่อป้องกันมัลแวร์เครือข่าย ผู้เชี่ยวชาญแนะนำให้สร้างไฟล์ C:\windows\infpub.dat บนคอมพิวเตอร์ของคุณและตั้งค่าสิทธิ์แบบอ่านอย่างเดียวสำหรับไฟล์ ซึ่งทำได้ง่ายในส่วนการดูแลระบบ ด้วยวิธีนี้ คุณจะบล็อกการทำงานของไฟล์ และเอกสารทั้งหมดที่มาจากภายนอกจะไม่ถูกเข้ารหัสแม้ว่าจะติดไวรัสก็ตาม เพื่อหลีกเลี่ยงการสูญเสียข้อมูลอันมีค่าในกรณีที่ติดไวรัส ให้ทำสำเนาสำรองทันที และแน่นอนว่าควรจำไว้ว่าการจ่ายค่าไถ่เป็นกับดักที่ไม่รับประกันว่าคอมพิวเตอร์ของคุณจะถูกปลดล็อค
เราขอเตือนคุณว่าไวรัสแพร่กระจายไปอย่างน้อย 150 ประเทศทั่วโลกในเดือนพฤษภาคมของปีนี้ เขาเข้ารหัสข้อมูลและเรียกร้องให้จ่ายค่าไถ่ตามแหล่งต่าง ๆ ตั้งแต่ 300 ถึง 600 ดอลลาร์ ผู้ใช้มากกว่า 200,000 รายได้รับผลกระทบจากมัน ตามเวอร์ชันหนึ่ง ผู้สร้างใช้มัลแวร์ US NSA Eternal Blue เป็นพื้นฐาน
Alla Smirnova พูดคุยกับผู้เชี่ยวชาญ
เมื่อวันที่ 24 ตุลาคม ผู้ใช้จำนวนมากในยูเครนและรัสเซียถูก "กระต่ายอีสเตอร์มาเยือน" มีเพียงเขาเท่านั้นที่ไม่ได้นำของขวัญและความสุขมา แต่มีปัญหามากมาย และพวกเขาตั้งชื่อมันตามนั้น - Bad Rabbit (หรือตามที่ผู้เชี่ยวชาญบางคนเขียนว่า - BadRabbit) ภายใต้ชื่อนี้ไวรัสแรนซัมแวร์ตัวอื่นเริ่มแพร่กระจาย
ใครได้รับบาดเจ็บ?
ข้อมูลแรกเกี่ยวกับการโจมตีปรากฏเมื่อเช้าวันที่ 24 ตุลาคม บริษัทของรัฐหลายแห่งในยูเครน (รถไฟใต้ดินเคียฟ, สนามบินโอเดสซา) และรัสเซีย รวมถึงสื่อบางแห่งได้รับผลกระทบ สถาบันการเงินก็ถูกโจมตีเช่นกัน แต่ผู้โจมตีไม่สามารถทำร้ายพวกเขาได้ ในทางกลับกัน ตัวแทนของ ESET รายงานว่าปัญหาเกิดขึ้นไม่เพียงแต่ในรัสเซียและยูเครน แต่ยังเกิดในตุรกี ญี่ปุ่น และบัลแกเรียด้วย
หลังจากบล็อกพีซีแล้ว มัลแวร์แจ้งให้ผู้ใช้ทราบว่าเพื่อปลดล็อกข้อมูล เขาจะต้องโอน 0.05 Bitcoin (เทียบเท่ากับ 280 USD) ไปยังบัญชีของผู้โจมตี
มีการกระจายอย่างไร?
ยังไม่มีใครทราบวิธีการกระจายมัลแวร์ที่แน่นอน Group-IB ตั้งข้อสังเกตว่าการโจมตีดังกล่าวเตรียมการไว้เป็นเวลาหลายวัน (แม้ว่าตามข้อมูลของ Costin Raiu ตัวแทนจาก Kaspersky Lab ระบุว่าการเตรียมการใช้เวลานานกว่ามาก)
อย่างไรก็ตาม เป็นที่ทราบกันดีอยู่แล้วในปัจจุบันว่ามัลแวร์ถูกเผยแพร่ภายใต้หน้ากากของการอัพเดต Adobe Flash ตามปกติ โดยไม่ใช้ประโยชน์จากข้อบกพร่อง SMB ที่เคยใช้โดยโปรแกรมเข้ารหัส WannaCry และ NotPetya แต่ที่นี่ความคิดเห็นของผู้เชี่ยวชาญก็แตกต่างกัน
Group-IB เชื่อว่า Bad Rabbit เป็นการดัดแปลง NotPetya ซึ่งแฮกเกอร์สามารถแก้ไขข้อผิดพลาดในอัลกอริทึมการเข้ารหัสได้ ในขณะเดียวกัน ตัวแทนของ Intezer ทราบว่าโค้ดที่เป็นอันตรายนั้นเหมือนกันเพียง 13% เท่านั้น
ESET และ Kaspersky Lab มีจุดยืนที่ค่อนข้างน่าสนใจ: บริษัท ไม่ได้ออกกฎว่า "กระต่ายชั่วร้าย" อาจเป็นผู้ติดตามของ NotPetya แต่ไม่ได้แถลงโดยตรงเกี่ยวกับเรื่องนี้
จะปกป้องคอมพิวเตอร์ของคุณได้อย่างไร?
ในขณะนี้ การแพร่กระจายของแรนซัมแวร์ได้หยุดลงแล้ว แต่ผู้เชี่ยวชาญทราบว่าควรระมัดระวังในการปกป้องพีซีของคุณจากการติดไวรัส เมื่อต้องการทำเช่นนี้ ให้สร้างไฟล์:
- C:\Windows\infpub.dat และ C:\Windows\cscc.dat;
- ลบสิทธิ์การดำเนินการทั้งหมดออกจากพวกเขา (บล็อกพวกเขา)
ฉันยืนยันได้ — การฉีดวัคซีนสำหรับ
ไวรัส BadRabbit ทำหน้าที่เป็นภัยคุกคาม crypto ตัวใหม่ที่สร้างความเสียหายในยุโรปตะวันออก มันทำงานคล้ายกับแรนซัมแวร์ที่น่าอับอายหรือแรนซัมแวร์ที่แพร่กระจายในโลกไซเบอร์เมื่อไม่กี่เดือนที่ผ่านมา เมื่อพิจารณาให้ละเอียดยิ่งขึ้นถึงแม้จะมีความคล้ายคลึงกันและผู้เชี่ยวชาญด้านไอทีก็สงสัยว่านักพัฒนาอาจจะเหมือนกัน แต่ซอร์สโค้ดแตกต่างไปจากเดิมอย่างสิ้นเชิง
จนถึงขณะนี้ มีจำนวนเหยื่อเกิน 200 รายแล้ว ดูเหมือนว่านักพัฒนาจะไม่ชอบรัสเซียและยูเครนอย่างมาก เนื่องจากเป็นสองประเทศที่ได้รับความเดือดร้อนมากที่สุด เป้าหมายหลักคือสนามบินนานาชาติโอเดสซาในยูเครน และบริษัทสื่อหลายแห่งในรัสเซีย รวมถึง Interfax, Fontanka.ru เป็นต้น นอกจากนี้ การโจมตียังแพร่กระจายไปยังประเทศเพื่อนบ้าน เช่น ตุรกี และบัลแกเรีย
โจมตีด้วยการอัพเดต Flash Player ปลอม
Adobe Flash Player แสดงให้เห็นถึงความสำเร็จของนักพัฒนามัลแวร์อีกครั้ง องค์ประกอบที่เป็นอันตรายหลักของโปรแกรมปลอมแปลงเป็นการอัปเดต Flash ปลอม มัลแวร์ดาวน์โหลดเป็น ติดตั้ง_ แฟลช_ ผู้เล่น. อดีตไฟล์จากไซต์ที่เสียหาย BadRabbit ransomware ยังสามารถปลอมแปลงเป็นชื่อไฟล์สำรองได้
ตามที่การวิเคราะห์ของ VirusTotal แสดงให้เห็น ภัยคุกคามอาจซ่อนอยู่ใน “ตัวถอนการติดตั้ง” เฉพาะ โชคดีที่แอปพลิเคชันความปลอดภัยส่วนใหญ่ตรวจพบการติดไวรัสแล้ว มัลแวร์ใช้ประโยชน์จากช่องโหว่บางอย่างในเซิร์ฟเวอร์ SMB ซึ่งอธิบายว่าทำไมจึงสามารถเจาะเซิร์ฟเวอร์ได้
หลังจากการบุกรุกของ Bad Rabbit แรนซัมแวร์ก็ถูกสร้างขึ้น ค:\ หน้าต่าง\ infpub. ข้อมูลไฟล์. ดังนั้นจึงสร้างไฟล์ดังต่อไปนี้ - ค:\ หน้าต่าง\ ซีซีซี. ข้อมูลและ ค:\ หน้าต่าง\ ดิสซี. อดีต- พวกเขามีหน้าที่รับผิดชอบในการเปลี่ยนแปลงการตั้งค่า MBR สิ่งที่น่าสนใจคือมัลแวร์นำเสนอลิงก์ไปยังตัวละคร Game of Thrones มัลแวร์ BadRabbit สร้างงานสามงาน โดยมีชื่อในซีรีส์ตามมังกรสามตัว:
- C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat,#1 15
- cmd.exe /c schtasks /ลบ /F /TN rhaegal
- cmd.exe /c schtasks /สร้าง /ระบบ RU /SC ONSTART /TN rhaegal /TR
- cmd.exe /c schtasks /สร้าง /SC หนึ่งครั้ง /TN drogon /ระบบ RU /TR:00
- C:\Windows\AF93.tmp"\
นอกจากนี้ยังใช้บริการเข้ารหัสโอเพ่นซอร์สที่เรียกว่า DiskCryptor ต่อมาจะใช้วิธีการเข้ารหัสมาตรฐาน AE และ RSA-2048 ได้รับการออกแบบมาสำหรับรูปแบบไฟล์ที่แตกต่างกัน เนื่องจาก Petya.A ไม่ได้เพิ่มนามสกุลไฟล์ แต่รบกวนการตั้งค่า Master Boot Record (MBR)
มันจะรีบูทระบบและแสดงบันทึกค่าไถ่เดียวกันกับ NotPetya นอกจากนี้ยังนำผู้ที่ตกเป็นเหยื่อไปยังไซต์การชำระเงินที่ไม่เหมือนใคร เขาแจ้งให้พวกเขาทราบสั้น ๆ เกี่ยวกับมัลแวร์และเรียกร้องค่าไถ่ 0.05 BTC เมื่อมัลแวร์เจาะระบบได้สำเร็จ มันจะใช้ Mimikatz เพื่อรับข้อมูลทางเทคนิคเกี่ยวกับอุปกรณ์อื่น ๆ ที่มองเห็นได้บนเครือข่ายเดียวกัน
ไวรัส BadRabbit ยังคงความโหดร้ายของ Petya ต่อไป 
วิธีที่ 1 (เซฟโหมด)
เลือก "เซฟโหมดพร้อมระบบเครือข่าย" 
วิธีที่ 1 (เซฟโหมด)
เลือก "เปิดใช้งาน Safe Mode ด้วยระบบเครือข่าย" 
เลือก "เซฟโหมดพร้อมรับคำสั่ง" 
วิธีที่ 2 (การคืนค่าระบบ)
เลือก "เปิดใช้งาน Safe Mode ด้วย Command Prompt" 
วิธีที่ 2 (การคืนค่าระบบ)
พิมพ์ "cd Restore" โดยไม่มีเครื่องหมายคำพูดแล้วกด "Enter" 
วิธีที่ 2 (การคืนค่าระบบ)
พิมพ์ "rstrui.exe" โดยไม่มีเครื่องหมายคำพูดแล้วกด "Enter" 
วิธีที่ 2 (การคืนค่าระบบ)
ในหน้าต่าง "System Restore" ที่ปรากฏขึ้น ให้เลือก "ถัดไป" 
วิธีที่ 2 (การคืนค่าระบบ)
เลือกจุดคืนค่าของคุณแล้วคลิก "ถัดไป" 
วิธีที่ 2 (การคืนค่าระบบ)
คลิก "ใช่" และเริ่มการกู้คืนระบบ ⇦ ⇨
สไลด์ 1 จาก 10
เช่นหรือช่วยคุณระบุการติดเชื้อ เครื่องมือดังกล่าวสามารถช่วยให้คุณทำการลบ BadRabbit ได้ ด้านล่างนี้คุณจะพบคำแนะนำเกี่ยวกับวิธีการคืนค่าการเข้าถึงคอมพิวเตอร์ของคุณ หลังจากนี้ คุณจะสามารถลบไวรัส Bad Rabbit ได้
กำจัดภัยคุกคาม BadRabbit Crypto
เนื่องจากวิธีการปฏิบัติงานที่เฉพาะเจาะจง จึงไม่น่าแปลกใจว่าทำไมมัลแวร์จึงถูกเรียกว่า Petya ถัดไป หากคุณพบกับภัยพิบัติทางไซเบอร์นี้ ให้ทำตามคำแนะนำด้านล่าง เนื่องจากแรนซัมแวร์เปลี่ยนการตั้งค่า MBR คุณจะไม่สามารถบูตคอมพิวเตอร์เข้าสู่ Safe Mode ได้ทันที ทำตามคำแนะนำในการรีเซ็ต MBR
หลังจากนั้น รีสตาร์ทคอมพิวเตอร์ในเซฟโหมด เปิดใช้งานแอปพลิเคชันความปลอดภัยของคุณอีกครั้ง และลบ BadRabbit virus หลังจากการสแกน ให้เริ่มคอมพิวเตอร์ของคุณตามปกติและทำซ้ำขั้นตอนนี้ นี่จะเป็นการยืนยันว่าการลบ Bad Rabbit เสร็จสมบูรณ์ โปรดทราบว่าการลบมัลแวร์จะไม่กู้คืนไฟล์ที่เข้ารหัส ลองกู้คืนจากข้อมูลสำรอง ด้านล่างนี้คุณจะพบคำแนะนำบางประการ
บนวินโดวส์ 7:
- ใส่ดีวีดี Windows 7
- เปิดตัวดีวีดี
- เลือกการตั้งค่าภาษาและแป้นพิมพ์ คลิก ต่อไป.
- เลือกระบบปฏิบัติการของคุณ ทำเครื่องหมายที่ Use recovery tools แล้วคลิก ต่อไป.
- รอให้หน้าจอปรากฏขึ้น ตัวเลือกการกู้คืนระบบและเลือก บรรทัดคำสั่ง.
- ป้อนคำสั่งต่อไปนี้แล้วกด Enter หลังจากแต่ละคำสั่ง: บูทเทรค / สร้างใหม่bcd, บูทเทรค / แก้ไข, และบูทเทรค / ฟิกซ์บูต.
- นำแผ่นดีวีดีการติดตั้งออกแล้วรีสตาร์ทพีซีของคุณ
บนระบบ Windows 8/10:
- ใส่แผ่นดีวีดีการติดตั้งหรือไดรฟ์กู้คืน USB
- เลือกตัวเลือก กำลังซ่อมคอมพิวเตอร์ของคุณ. การแก้ไขปัญหาและไปที่ บรรทัดคำสั่ง.
- ป้อนคำสั่งต่อไปนี้ทีละคำสั่งแล้วกด เข้าหลังจากแต่ละครั้ง: บูทเทรค / แก้ไขMbr, บูทเทรค / แก้ไข Boot, บูทเทรค / สแกนออส, และ บูทเทรค / สร้างBcd ใหม่.
- ลบการกู้คืน DVD หรือ USB
- พิมพ์เอาต์พุตแล้วกด Enter
- รีสตาร์ทพีซีของคุณ
