Naimpeksyon na nito ang mga computer ng tatlong Russian media outlet at, malamang, nagdulot din ito ng mga problema sa mga sistema ng impormasyon sa Ukraine.

Mga bookmark

Noong araw ng Oktubre 24, ang mga website ng Interfax news agency at ang St. Petersburg na pahayagan na Fontanka ay bukas: iniulat ng mga kinatawan ng dalawa na ang dahilan ay isang pag-atake ng virus. Mamaya tungkol sa pag-atake ng hacker sa Ukrainian Ministry of Infrastructure, ang Kyiv metro at Odessa airport.

Hindi pa tiyak kung konektado ang lahat ng mga pag-atakeng ito, ngunit lahat ng mga ito ay nangyari nang humigit-kumulang sa parehong oras - nalaman nila ang tungkol sa mga ito sa loob ng ilang oras sa bawat isa. Sa pinakamababa, ang Russian media ay inatake ng parehong encryption virus, sabi ng Group-IB, at nilinaw na ang mga ahensya ng gobyerno sa Ukraine ay maaari ding maging biktima nito.

Ang mga lumikha ng virus mismo ay tinatawag itong Bad Rabbit. Ipinaliwanag ni TJ kung ano ang nalalaman tungkol sa virus.

• Ang impeksyon sa Bad Rabbit ay nagpapaalala noong Mayo 2017: naapektuhan nito ang mga kumpanya sa Russia at Ukraine, napakabilis na kumalat ang virus, at humingi ng ransom ang mga hacker. Ngunit sinasabi ng Group-IB na ang Bad Rabbit mismo ay hindi katulad ng Petya.A o WannaCry - pinag-aaralan na ngayon ng mga eksperto ang mga infected na computer;
• Nai-infect ng virus ang computer sa pamamagitan ng pag-encrypt ng mga file dito. Hindi mo sila ma-access. Ang isang detalyadong mensahe na may mga tagubilin ay ipinapakita sa screen ng computer: Ang Group-IB ay nag-publish ng mga larawan ng mga halimbawa ng naturang mga nahawaang computer sa Telegram channel;

Larawan ng Group-IB

• Ang mga tagubilin ay nagsasabi na upang i-decrypt ang mga file kailangan mo lamang magpasok ng isang password. Ngunit upang makuha ito, kailangan mong pumunta sa isang mahabang paraan. Una, pumunta sa isang espesyal na site sa caforssztxqzf2nm.onion sa darknet - kakailanganin nito ang Tor browser. Sa paghusga sa mga larawang inilathala ng Group-IB, ang site ay pareho sa lahat ng dako;
• Ang pangalan ng virus ay ipinahiwatig sa website - Bad Rabbit. Upang makuha ang password upang i-decrypt ang data, hinihiling sa iyo ng mga hacker na magpasok ng "personal na code sa pag-install" - isang mahabang cipher mula sa isang mensahe na ipinapakita sa screen ng computer. Pagkatapos nito, lalabas ang address ng Bitcoin wallet kung saan mo gustong maglipat ng pera;
• Ayon sa website ng Bad Rabbit, ang ransomware ay humihingi ng ransom na 0.05 Bitcoin para sa bawat computer. Sa halaga ng palitan noong Oktubre 24, ito ay humigit-kumulang $283 o 16.5 libong rubles (si Petya.A ay humiling din ng humigit-kumulang $300);
• Muli, ayon sa website ng virus, ang ransomware ay nagbibigay lamang ng dalawang araw (48 oras) upang bayaran ang paunang ransom. Matapos ang panahong ito ay mag-expire, ang presyo para sa pag-decrypting ng mga file ay tataas;
• Hindi posibleng i-verify ang address ng Bitcoin wallet kung saan tumatanggap ang mga hacker ng mga pondo gamit ang mga available na code mula sa mga litrato ng Group-IB. Marahil ay nagamit na ang mga ito, marahil ay nagkamali kami - pagkatapos ng lahat, ang code ay 356 na mga character ang haba;

Mga kaklase

Noong isang araw lang, nagsimula ang malakihang pag-atake ng hacker sa Russia at Ukraine, Turkey, Germany, at Bulgaria gamit ang bagong naka-encrypt na virus na Bad Rabbit, na kilala rin bilang Diskcoder.D. Ang virus ay kasalukuyang umaatake sa mga corporate network ng malaki at katamtamang laki ng mga organisasyon, na hinaharangan ang lahat ng network. Ngayon sasabihin namin sa iyo kung ano ang Trojan na ito at kung paano mo mapoprotektahan ang iyong sarili mula dito.

Gumagana ang Bad Rabbit virus ayon sa isang karaniwang pamamaraan para sa ransomware: sa sandaling pumasok ito sa system, nag-encode ito ng mga file para sa pag-decryption kung saan ang mga hacker ay humihingi ng 0.05 bitcoin, na sa halaga ng palitan ay $283 (o 15,700 rubles). Iniuulat ito sa isang hiwalay na window, kung saan kailangan mo talagang ilagay ang biniling key. Ang banta ay kabilang sa uri ng Trojan.Win32.Generic, ngunit naglalaman din ito ng iba pang mga bahagi, tulad ng DangerousObject.Multi.Generic at Ransom.Win32.Gen.ftl.

Mahirap pa ring ganap na masubaybayan ang lahat ng pinagmumulan ng impeksyon, ngunit ginagawa na ito ng mga eksperto.

Malamang, ang banta ay umabot sa PC sa pamamagitan ng mga nahawaang site na na-configure upang i-redirect, o sa ilalim ng pagkukunwari ng mga pekeng update para sa mga sikat na plugin gaya ng Adobe Flash. Ang listahan ng mga naturang site ay lumalaki lamang.

Dapat pansinin kaagad na sa sandaling ang lahat ng mga laboratoryo ng anti-virus ay nagsimulang suriin ang Trojan na ito. Kung partikular kang naghahanap ng impormasyon tungkol sa pag-alis ng virus, kung gayon, hindi ito umiiral. Itapon natin kaagad ang karaniwang payo, tulad ng paggawa ng backup ng system, pagbabalik point, pagtanggal ng ilang partikular na file. Kung wala kang mga pag-save, kung gayon ang lahat ng iba ay hindi gumagana, dahil sa mga pagtutukoy ng virus, kinakalkula ang mga puntong ito.

May posibilidad na ang mga decryptor na ginawa ng mga baguhan para sa Bad Rabbit ay malapit nang maipamahagi - kung gagamitin mo ang mga program na ito o hindi ay sarili mong negosyo. Gaya ng ipinakita ng nakaraang Petya ransomware, kaunti lang ang naitutulong nito.

Ngunit posible na maiwasan ang pagbabanta at alisin ito habang sinusubukang makapasok sa PC. Ang Kaspersky at ESET laboratories ang unang tumugon sa balita ng epidemya ng virus, at hinaharangan na nila ang mga pagtatangka sa pagtagos.

Nagsimula rin ang browser ng Google Chrome na makakita ng mga nahawaang mapagkukunan at nagbabala tungkol sa kanilang panganib. Narito ang kailangan mong gawin upang maprotektahan muna ang iyong sarili mula sa BadRabbit:

1. Kung gumagamit ka ng Kaspersky, ESET, Dr.Web, o iba pang mga kilalang analogue para sa proteksyon, dapat mong i-update ang mga database. Para sa Kaspersky, kailangan mo ring paganahin ang System Watcher, at para sa ESET, maglapat ng mga lagda na may update na 16295.

2. Kung hindi ka gumagamit ng mga antivirus, kailangan mong harangan ang pagpapatupad ng mga file na C:\Windows\infpub.dat at C:\Windows\cscc.dat. Ginagawa ito gamit ang Group Policy Editor, o ang AppLocker program para sa Windows.

3. Kung maaari, ito ay nagkakahalaga ng hindi pagpapagana ng pagpapatupad ng serbisyo - Windows Management Instrumentation (WMI). Sa bersyon 10, ang serbisyo ay tinatawag na Windows Management Instrumentation. Gamit ang kanang pindutan, ipasok ang mga katangian ng serbisyo at piliin ang mode na "Disabled" sa "Uri ng Startup".

Kinakailangang i-back up ang iyong system. Sa isip, ang isang kopya ay dapat palaging naka-imbak sa konektadong media.

Sa konklusyon, ang pinakamahalagang bagay ay dapat tandaan - hindi ka dapat magbayad ng pantubos, anuman ang iyong na-encrypt. Ang ganitong uri ng aksyon ay hinihikayat lamang ang mga scammer na lumikha ng mga bagong pag-atake ng virus. Pagmasdan ang mga forum ng mga kumpanya ng antivirus na, umaasa ako, ay malapit nang pag-aralan ang Bad Rabbit virus at makahanap ng solusyon. Tiyaking sundin ang mga hakbang sa itaas upang protektahan ang iyong OS. Kung nakatagpo ka ng anumang mga paghihirap sa pagsasagawa ng mga ito, mangyaring sumulat sa mga komento.

Isang bagong ransomware virus, Bad Rabbit, ang umatake sa mga website ng ilang Russian media outlet noong Martes. Sa partikular, ang mga sistema ng impormasyon ng ahensya ng Interfax, pati na rin ang server ng St. Petersburg news portal na Fontanka, ay inatake. Sa hapon, nagsimulang kumalat ang Bad Rabbit sa Ukraine - ang virus ay tumama sa mga network ng computer ng Kyiv metro, Ministry of Infrastructure, at Odessa International Airport. Ang mga katulad na pag-atake ay naobserbahan sa Turkey at Germany, bagaman sa mas maliit na bilang. Ipinapaliwanag ng TASS kung anong uri ito ng virus, kung paano protektahan ang iyong sarili mula dito at kung sino ang maaaring nasa likod nito.

Ang Bad Rabbit ay isang ransomware virus

Nai-infect ng malware ang iyong computer sa pamamagitan ng pag-encrypt ng mga file dito. Upang makakuha ng access sa kanila, nag-aalok ang virus na magbayad sa isang tinukoy na site sa darknet (nangangailangan ito ng Tor browser). Upang i-unlock ang bawat computer, hinihiling ng mga hacker na magbayad ng 0.05 bitcoin, iyon ay, humigit-kumulang 16 na libong rubles o $280. 48 oras ang inilaan para sa ransom - pagkatapos ng pag-expire ng panahong ito ang halaga ay tumataas.

Ayon sa computer forensics laboratory ng Group-IB, sinubukan ng ransomware virus na atakehin hindi lamang ang Russian media, kundi pati na rin ang mga bangko ng Russia mula sa nangungunang 20, ngunit nabigo ito.

Ayon sa virus lab ng ESET, ginamit ng pag-atake ang Diskcoder.D malware, isang bagong pagbabago ng encryptor na kilala bilang Petya. Ang nakaraang bersyon ng Diskcoder ay inilabas noong Hunyo 2017. Sa Group-IB, ang Bad Rabbit virus ay maaaring isinulat ng may-akda ng NotPetya (ito ay isang na-update na bersyon ng "Petya" mula 2016) o ng kanyang tagasunod.

"Ang malware ay ipinamahagi mula sa mapagkukunang 1dnscontrol.com. Mayroon itong IP 5.61.37.209, ang mga sumusunod na mapagkukunan ay nauugnay sa domain name at IP address na ito: webcheck01.net, webdefense1.net, secure-check.host, firewebmail.com, secureinbox. email, secure-dns1.net" - TASS sa Group-IB. Napansin ng kumpanya na maraming mapagkukunan ang nakarehistro sa mga may-ari ng mga site na ito, halimbawa, ang tinatawag na mga pharmaceutical affiliate - mga site na nagbebenta ng mga pekeng gamot sa pamamagitan ng spam. "Posible na sila ay ginamit upang magpadala ng spam at phishing," idinagdag ng kumpanya.

Ang Bad Rabbit ay ipinamahagi sa ilalim ng pagkukunwari ng isang pag-update ng plugin ng Adobe Flash

Malayang inaprubahan ng mga user ang pag-install ng update na ito at sa gayon ay nahawahan ang kanilang computer. "Walang mga kahinaan sa lahat, ang mga gumagamit ang nagpatakbo ng file mismo," sabi ni Sergei Nikitin, representante na pinuno ng laboratoryo ng computer forensics ng Group-IB. Kapag nasa lokal na network, ang Bad Rabbit ay nagnanakaw ng mga login at password mula sa memorya at maaaring independiyenteng mai-install sa ibang mga computer.

Ang virus ay medyo madaling iwasan

Upang maprotektahan laban sa impeksyon sa Bad Rabbit, kailangan lang ng mga kumpanya na i-block ang mga tinukoy na domain para sa mga user ng corporate network. Dapat i-update ng mga user sa bahay ang Windows at ang kanilang antivirus na produkto para matukoy ang file na ito bilang nakakahamak.

Ang mga gumagamit ng built-in na antivirus ng Windows operating system - Windows Defender Antivirus - ay mula na sa Bad Rabbit. "Ipinagpapatuloy namin ang pagsisiyasat, at kung kinakailangan, magsasagawa kami ng mga karagdagang hakbang upang protektahan ang aming mga gumagamit," tagapagsalita ng TASS para sa Microsoft Corporation sa Russia na si Kristina Davydova.

Naghanda rin ang Kaspersky Lab upang maiwasang maging biktima ng isang bagong epidemya. Pinayuhan ng tagagawa ng antivirus ang lahat na gumawa ng backup. Bilang karagdagan, inirerekomenda ng kumpanya na i-block ang pagpapatupad ng file c:\windows\infpub.dat, C:\Windows\cscc.dat, at gayundin, kung maaari, ipagbawal ang paggamit ng serbisyo ng WMI.

Naniniwala ang Ministri ng Telecom at Mass Communications na ang pag-atake sa Russian media ay hindi na-target

"Sa lahat ng nararapat na paggalang sa malaking media, hindi ito isang kritikal na pasilidad ng imprastraktura," pinuno ng Ministri ng Telecom at Mass Communications na si Nikolai Nikiforov, na idinagdag na ang mga hacker ay malamang na hindi ituloy ang anumang partikular na layunin. Sa kanyang opinyon, ang mga naturang pag-atake, sa partikular, ay nauugnay sa mga paglabag sa mga hakbang sa seguridad kapag kumokonekta sa "bukas na Internet." "Malamang, ang sistema ng impormasyon na ito (Interfax - TASS note) ay hindi sertipikado," iminungkahi ng ministro.

Ang pangunahing alon ng pagkalat ng virus ay natapos na

"Ngayon ay maaari na nating pag-usapan ang paghinto ng aktibong pagkalat ng virus, ang ikatlong epidemya ay halos tapos na kahit na ang domain kung saan ipinamahagi ang Bad Rabbit ay hindi na tumutugon," sa Group-IB. Ayon kay Sergei Nikitin, ang mga nakahiwalay na kaso ng impeksyon sa virus ay posible, lalo na sa mga corporate network kung saan ang mga pag-login at password ay ninakaw na, at ang virus ay maaaring mag-install mismo, nang walang interbensyon ng gumagamit. Gayunpaman, maaari na nating pag-usapan ang pagtatapos ng pangunahing alon ng ikatlong epidemya ng virus ng ransomware sa 2017.

Paalalahanan ka namin na noong Mayo, ang mga computer sa buong mundo ay inatake ng virus. Ang impormasyon ay hinarangan sa mga nahawaang computer, at ang mga umaatake ay humingi ng $600 sa mga bitcoin upang i-unlock ang data. Noong Hunyo, ang isa pang virus na tinatawag na Petya ay umatake sa mga kumpanya ng langis, telekomunikasyon at pananalapi sa Russia, Ukraine at ilang mga bansa sa EU. Ang prinsipyo ng operasyon nito ay pareho: ang virus ay nag-encrypt ng impormasyon at humingi ng ransom na $300 sa bitcoins.

Ang Bad Rabbit ransomware virus ay umabot sa pinakamalaking mga bangko sa Russia at sinubukan din ang lakas ng sistema ng seguridad ng Central Bank of Russia. Ayon sa isang kumpanya ng pagsisiyasat sa cybercrime, tinangka ng virus na i-hack ang sistema ng isang nangungunang 20 bangko. Basahin ang tungkol sa kung paano hinarap ng mga organisasyong pinansyal ang mga pag-atake ng "masamang kuneho" sa materyal na "360".

Susunod na balita

Ang Bangko Sentral ng Russia ay nakakita ng pag-atake ng hacker ng Bad Rabbit virus sa ilang mga bangko sa Russia, ayon sa isang press release mula sa regulator. Kasabay nito, ang data ng mga organisasyong pampinansyal ay hindi nasira ng mga aksyon ng encryptor, ang tala ng Central Bank.

Ang isang natatanging tampok ng malisyosong software na ito ay ang kakayahang mangolekta ng mga password mula sa mga gumagamit ng mga nahawaang computer, pati na rin ang pag-download ng mga karagdagang nakakahamak na module gamit ang nakuhang data. Ang mga umaatake ay nagpapadala ng isang e-mail na may nakalakip na virus sa pamamagitan ng panlilinlang o pag-abuso sa tiwala, hinihikayat nila ang gumagamit na magbukas ng isang malisyosong file, pagkatapos nito ay isinaaktibo ang malisyosong software;

- mensahe mula sa Bangko Sentral.

Nagbabala ang monetary regulator na maaaring magpatuloy ang mga cyber attack. Ang mga empleyado ng Central Bank ay nagpadala na ng mga rekomendasyon sa mga bangko kung paano makatuklas ng malisyosong software at sinabi sa kanila ang tungkol sa mga paraan upang labanan ito. Bilang karagdagan, plano ng departamento na suriin ang mga cyberattack ng Bad Rabbit na ginawa sa Russia at bumuo ng mga mekanismo upang maprotektahan laban sa ransomware virus.

Inaatake ang mga bangko

Noong nakaraang araw, sinubukan ng Bad Rabbit ransomware na atakehin ang mga bangko ng Russia mula sa nangungunang dalawampu. Gayunpaman, hindi matagumpay ang mga pag-atake, sabi ni Ilya Sachkov, CEO ng Group-IB, na nag-iimbestiga sa mga cybercrimes. Ang mga analyst ng Group-IB ay nagtala ng mga pagtatangka na mahawahan ang ilang mga bangko sa Russia ng mga virus na gumagamit ng isang intrusion detection system na binuo ng kumpanya.

"Ang mga file na ito ay dumating doon noong Martes mula 13:00 hanggang 15:00 oras ng Moscow. Ibig sabihin, sinubukan din nilang ikalat ang virus na ito sa mga bangko,” sinipi ni RIA Novosti si Sachkov. Pinili ng mga kinatawan ng kumpanya na manatiling tahimik tungkol sa kung aling mga organisasyon ng pagbabangko ang inatake ng "masamang kuneho."

Ang serbisyo ng press ng Rosselkhozbank ay nagsabi sa 360 na kawani ng editoryal na ang bangko ay hindi nagtala ng anumang mga pagtatangka na magsagawa ng mga pag-atake sa cyber sa mga mapagkukunan ng impormasyon nito. Gayundin, sinabi ng isang kinatawan ng organisasyong pinansyal na ang bangko ay "kinokontrol at sinusubaybayan ang seguridad ng impormasyon ng mga asset ng impormasyon, at binibigyang pansin din ang paglitaw ng kahina-hinalang virus at aktibidad ng network."

Ang isang kinatawan ng Raiffeisenbank ay nagsabi na ang lahat ng mga serbisyo ng bangko ay tumatakbo gaya ng dati. "Alam namin ang banta, lahat ng kinakailangang hakbang ay ginawa. "Tradisyunal na binibigyang pansin ng Raiffeisenbank ang mga isyu sa cybersecurity, kapwa sa mga tuntunin ng panloob na imprastraktura at mga serbisyong ibinibigay sa mga kliyente," sinabi ng press secretary ng bangko na si Alexandra Sysoeva, sa 360.

Ang sistema ng pagbabangko ay pinamamahalaang maitaboy ang pag-atake ng Bad Rabbit, dahil ang mga pag-atake ng hacker sa mga organisasyong pinansyal ay isinasagawa araw-araw, sinabi ni Sergei Nikitin, deputy head ng Group-IB computer forensics laboratory, sa 360.

Ang mga bangko ay nahaharap sa mga pag-atake sa cyber araw-araw, kaya lahat ng mga titik at mga third-party na file ay sinusuri sa pamamagitan ng isang "sandbox" (isang espesyal na itinalagang kapaligiran para sa ligtas na pagpapatupad ng mga programa sa computer - "360"). Gayunpaman, kung nabigo ang mga bangko na itaboy ang pag-atake, hahantong ito sa pagkawala ng data na kadalasang imposibleng i-decrypt kahit na matapos bayaran ang mga scammer.

— Sergei Nikitin.

Nabanggit ng eksperto na ang ganitong uri ng virus ay hindi naglalayong magnakaw ng mga pondo mula sa isang bangko, dahil dalubhasa lamang ito sa pag-encrypt ng impormasyon tungkol sa mga gumagamit.

Follower HindiSinabi ni Petya

RIA Novosti / Vladimir Trefilov

Ang bagong ransomware ay isang binagong bersyon ng NotPetya virus, na nag-impeksyon sa mga IT system ng mga organisasyon sa ilang bansa noong Hunyo. Ang koneksyon sa pagitan ng BadRabbit at NotPetya ay ipinahiwatig ng mga tugma sa code. Iminumungkahi nito na maaaring mayroon silang parehong tagalikha, sinabi ni Vladimir Ulyanov, pinuno ng Zecurion analytical center, sa 360.

Ang mga virus na ito ay nabibilang sa parehong klase. Kasabay nito, ang cryptographerMas malawak ang NotPetya dahil pinagsamantalahan nito ang mga kahinaan sa W operating systemindows, at nag-aalok ang "masamang kuneho" na mag-download ng virus sa ilalim ng pagkukunwari ng isang player. Sa tingin ko, malabong lumaganap ang Bad Rabbit sa Russia, dahil nabuo na ang proteksyon laban ditosa lahat ng kumpanya ng antivirus na ang mga aplikasyon ay ginagamit ng mga bangko at iba pang organisasyon

- Vladimir Ulyanov.

Ang pag-atake ay gumagamit ng Mimikatz program, na humarang sa mga login at password sa nahawaang makina. Gayundin sa code ay mayroon nang nakarehistrong mga pag-login at password para sa mga pagtatangka upang makakuha ng administratibong pag-access. Para sa pag-decryption ng file, ang mga umaatake ay humihingi ng 0.05 bitcoin, na sa kasalukuyang halaga ng palitan ay humigit-kumulang katumbas ng 283 dolyar o 15.7 libong rubles.

Ang BadRabbit ransomware virus ay naglunsad ng halos dalawang daang pagsubok sa cyberattack sa buong mundo, ayon sa ulat ng Kaspersky Lab. “Karamihan sa mga biktima ay nasa Russia. Ang isang mas maliit na bilang ng mga pag-atake ay naobserbahan din sa ibang mga bansa - Ukraine, Turkey at Germany, "sabi ng kumpanya.

Upang maiwasang maging biktima ng "masamang kuneho," kinakailangang ipagbawal ang pag-execute ng mga file na C:\windows\infpub.dat, C:\Windows\cscc.dat at bigyan sila ng mga read-only na karapatan, ipinapayo ng Kaspersky Lab mga gumagamit. Bilang karagdagan, inirerekomenda na mabilis na ihiwalay ang mga computer na tinukoy sa mga tiket (mga kaganapan sa sistema ng pagtuklas ng panghihimasok), pati na rin suriin ang kaugnayan at integridad ng mga backup na kopya ng mga pangunahing node ng network.

Susunod na balita

Pagbati, mahal na mga bisita at bisita ng blog na ito! Ngayon isa pang ransomware virus ang lumitaw sa mundo na pinangalanang: “ Masamang Kuneho» — « Evil bunny". Ito ang pangatlong high-profile ransomware ng 2017. Ang mga nauna ay at (aka NotPetya).

Bad Rabbit - Sino ang nagdusa at humihingi ng maraming pera?

Sa ngayon, ilang Russian media outlet ang diumano'y nagdusa mula sa ransomware na ito - kabilang sa kanila ang Interfax at Fontanka. Nag-uulat din ang Odessa Airport ng pag-atake ng hacker - posibleng nauugnay sa parehong Bad Rabbit.

Para sa pag-decryption ng file, ang mga umaatake ay humihingi ng 0.05 bitcoin, na sa exchange rate ngayon ay humigit-kumulang katumbas ng 283 dolyar o 15,700 rubles.

Ang mga resulta ng pananaliksik ng Kaspersky Lab ay nagpapahiwatig na ang pag-atake ay hindi gumagamit ng mga pagsasamantala. Ang Bad Rabbit ay kumakalat sa pamamagitan ng mga infected na website: ang mga user ay nagda-download ng isang pekeng Adobe Flash installer, manu-manong patakbuhin ito, at sa gayon ay nahawahan ang kanilang mga computer.

Ayon sa Kaspersky Lab, sinisiyasat ng mga eksperto ang pag-atake na ito at naghahanap ng mga paraan upang labanan ito, pati na rin ang paghahanap ng posibilidad ng pag-decrypt ng mga file na apektado ng ransomware.

Karamihan sa mga biktima ng pag-atake ay nasa Russia. Alam din na ang mga katulad na pag-atake ay nangyayari sa Ukraine, Turkey at Germany, ngunit sa mas maliit na bilang. Cryptographer Masamang Kuneho ay kumakalat sa pamamagitan ng isang bilang ng mga nahawaang Russian media site.

Naniniwala ang Kapersky Lab na ang lahat ng mga palatandaan ay tumutukoy na ito ay isang naka-target na pag-atake sa mga corporate network. Ginagamit ang mga paraan na katulad ng mga naobserbahan namin sa pag-atake ng ExPetr, ngunit hindi namin makumpirma ang koneksyon sa ExPetr.

Alam na na ang mga produkto ng Kaspersky Lab ay nakakakita ng isa sa mga bahagi ng malware gamit ang serbisyo ng cloud ng Kaspersky Security Network bilang UDS:DangerousObject.Multi.Generic, at gumagamit din ng System Watcher bilang PDM:Trojan.Win32.Generic.

Paano protektahan ang iyong sarili mula sa Bad Rabbit virus?

Upang maiwasang maging biktima ng bagong epidemya ng "Bad Bunny", " Kaspersky Lab"Inirerekomenda naming gawin ang mga sumusunod:

Kung mayroon kang naka-install na Kaspersky Anti-Virus, kung gayon:

• Suriin kung ang mga bahagi ng Kaspersky Security Network at Activity Monitor (aka System Watcher) ay pinagana sa iyong solusyon sa seguridad. Kung hindi, siguraduhing i-on ito.

Para sa mga walang produktong ito:

• I-block ang execution ng file c:\windows\infpub.dat, C:\Windows\cscc.dat. Magagawa ito sa pamamagitan ng .
• Huwag paganahin (kung maaari) ang paggamit ng serbisyo ng WMI.

Isa pang napakahalagang payo mula sa akin:

Laging gawin backup (backup - backup na kopya ) mga file na mahalaga sa iyo. Sa naaalis na media, sa mga serbisyo ng ulap! Ito ay i-save ang iyong mga nerbiyos, pera at oras!

Nais kong hindi mo makuha ang impeksyong ito sa iyong PC. Magkaroon ng malinis at ligtas na Internet!