24 жовтня багатьох користувачів в Україні та Росії «відвідав великодній кролик». Тільки він приніс не подарунки та радість, а величезну кількість проблем. Та й назвали його відповідно – Bad Rabbit (або як пишуть деякі фахівці – BadRabbit). Саме під такою назвою почав поширюватися черговий вірус-шифрувальник.
Хто постраждав?
Перші відомості про атаку з'явилися 24 жовтня. Постраждали багато держкомпаній в Україні (Київський метрополітен, Одеський аеропорт) та Росії, а також деякі ЗМІ. Також атаки зазнали і фінустанови, але зловмисникам не вдалося завдати їм шкоди. У свою чергу представники компанії ESET повідомили, що проблеми виникли не тільки в Росії та Україні, але також у Туреччині, Японії та Болгарії.
Після блокування ПК малеча повідомляла користувачеві, що за розблокування даних він повинен перевести 0,05 біткоїну (еквівалентно 280 USD) на рахунок зловмисників.
Як поширюється?
Точних даних про спосіб поширення зловреда не було нічого відомо. У компанії Group-IB зазначили, що атака готувалася кілька днів (хоча на думку представника "Лабораторії Касперського" Костіна Райю підготовка зайняла набагато більше часу).
Проте, вже сьогодні відомо, що зловред поширювався під виглядом звичайних оновлень Adobe Flash, не задіявши пролом у SMB, якою раніше користувалися шифрувальники WannaCry та NotPetya. Але й тут думки фахівців розходяться.
У Group-IB вважають, що Bad Rabbit – модифікація NotPetya, у якій хакерам вдалося виправити помилки в алгоритмі шифрування. У той же час представники Intezer зазначають, що шкідливий код ідентичний лише на 13%.
У ESET та «Лабораторії Касперського» зайняли досить цікаву позицію: у компаніях не виключають, що «злий кролик» може бути послідовником NotPetya, але прямих заяв із цього приводу не роблять.
Як захистити комп'ютер?
На даний момент поширення шифрувальника вже припинено, але фахівці зазначають, що варто подбати про захист своїх ПК від зараження. Для цього створіть файли:
- C:\Windows\infpub.dat та C:\Windows\cscc.dat;
- зніміть із них усі дозволи на виконання (заблокуйте).
I can confirm - Vaccination for
Декілька російських ЗМІ та українських організацій зазнали атаки шифрувальника Bad Rabbit. Зокрема, хакери атакували три російські ЗМІ, серед яких «Інтерфакс» та «Фонтанка».
24 жовтня розпочалася нова масштабна кібер-атака з використанням вірусу-шифрувальника Bad Rabbit. Зловред вразив комп'ютерні мережі Київського метрополітену, Міністерства інфраструктури, Міжнародного аеропорту Одеса. Декілька жертв опинилися і в Росії - в результаті атаки постраждали редакції федеральних ЗМІ, таких як «Інтерфакс» та «Фонтанка».
Kill Switch: необхідно створити файл C:\windows\infpub.dat і виставити йому права "тільки для читання". У цьому випадку навіть при зараженні файли не будуть зашифровані.
Найімовірніше вірус поширюється через зламані веб-сайти, пропонуючи користувачам встановити оновлення флеш-плеєра:
Попередній аналіз показує, що зловред поширюється через низку заражених сайтів російських ЗМІ. Всі ознаки вказують на те, що це цілеспрямована атака на корпоративні мережі.
Після проникнення на комп'ютер жертви шкідлива програма шифрує файли користувача. Для відновлення доступу до закодованих даних пропонується заплатити викуп у розмірі 0,05 біткойна, що за сучасним курсом приблизно еквівалентно 283 доларів США або 15 700 рублів. При цьому зловмисники попереджають, що у разі зволікання ціна за розшифровку зросте.
Подробиці про схему поширення Bad Rabbit поки що відсутні. Не зрозуміло й те, чи можна розшифрувати файли. Але вже відомо, що більшість жертв атаки перебувають у Росії. Крім того, схожі напади зафіксовані в Україні, Туреччині та Німеччині, але у значно меншій кількості.
Про хакерську атаку повідомила і прес-служба Київського метрополітену. Хакерам вдалося порушити можливість оплати проїзду за допомогою безконтактних банківських карток. "Увага! Кібератака! Метро працює у звичайному режимі, крім банківських сервісів (оплата безконтактними банківськими картками на жовтому турнікеті або MasterPass)», - повідомляється в офіційному обліковому записі київського метро у Facebook.
Зловмисники просять своїх жертв перейти на посилання ведучої на TOR-сайт, на якому запускається автоматичний лічильник. Після оплати, як запевняють зловмисники, жертва повинна отримати персональний ключ до розшифровки.
Поки невідомі способи розповсюдження та закріплення в системі, а також немає достовірної інформації щодо наявності ключів розшифровки.
Співробітники Лабораторії Касперського рекомендують такі дії:
Заблокуйте виконання файлу c:\windows\infpub.dat, C:\Windows\cscc.dat.Пост буде оновлено в міру надходження інформації.
Забороніть використання сервісу WMI, якщо це можливо.
Вконтакте
Однокласники
Буквально днями на території Росії та України, Туреччини, Німеччини, а також Болгарії почалася масштабна атака хакерів новим вірусом-шифрувальником Bad Rabbit, він же Diskcoder.D. Вірус зараз атакує корпоративні мережі великих та середніх організацій, блокуючи всі мережі. Сьогодні ми розповімо що з себе є цей троян і як можна убезпечити себе від нього.
Вірус Bad Rabbit (Поганий Кролик) працює за стандартною для шифрувальників схемою: потрапляючи в систему, він кодує файли, за розшифровку яких хакери вимагають 0,05 біткоїну, що за курсом становить 283 $ (або 15 700 руб). Про це повідомляється окремим вікном, куди, власне, і потрібно вводити придбаний ключ. Загроза відноситься до типу троян Trojan.Win32.Generic, але в ньому є й інші компоненти, такі як DangerousObject.Multi.Generic і Ransom.Win32.Gen.ftl.
Повністю відстежити всі джерела зараження поки що важко, проте експерти цим зараз займаються.
Імовірно, загроза потрапляє на ПК через заражені сайти, налаштовані на перенаправлення, або під виглядом фейкових оновлень для популярних плагінів типу Adobe Flash. Перелік таких сайтів поки що тільки збільшується.
Відразу слід зазначити, що зараз всі антивірусні лабораторії взялися за аналіз цього трояна. Якщо безпосередньо шукати інформацію з видалення вірусу, її, як такої, немає. Відкинемо відразу стандартні поради, типу зробіть бекап системи, точку повернення, видаліть певні файли. Якщо у вас немає збережень, то все інше не працює, хакери ці моменти через специфікацію вірусу прорахували.
Є можливість, що незабаром будуть розповсюджені створені любителями дешифратори для Bad Rabbit - вестися на ці програми або ні - ваша особиста справа. Як продемонстрував минулий шифрувальник Petya, це мало кому допомагає.
А ось попередити загрозу та видалити її під час спроби залізти у ПК реально. Першими на новину про вірусну епідемію відреагували лабораторії Kaspersky та ESET, які вже зараз блокують спроби проникнення.
Браузер Google Chrome у тому числі став виявляти заражені ресурси та попереджати про їхню небезпеку. Ось що необхідно зробити для захисту від BadRabbit насамперед:
1. Якщо ви використовуєте для захисту Касперський, ESET, Dr.Web або інші відомі аналоги, то вам потрібно обов'язково виконати оновлення баз даних. Для Касперського, у тому числі потрібно включити «Моніторинг активності» (System Watcher), а ESET застосуйте сигнатури з оновленням 16295.
2. Якщо ви не користуєтесь антивірусами, тоді потрібно заблокувати виконання файлів C:\Windows\infpub.dat та C:\Windows\cscc.dat. Робиться це за допомогою редактора групових політик, або програми AppLocker для Windows.
3. По можливості варто заборонити виконання служби – Windows Management Instrumentation (WMI). У 10-й версії служба називається "Інструментарій керування Windows". За допомогою правої кнопки увійдіть у властивості служби та виберіть у «Тип запуску» режим «Вимкнуто».
Обов'язково необхідно створити резервну копію вашої системи. В ідеалі, копія повинна завжди зберігатися на носії, що підключається.
На завершення потрібно відзначити найголовніше - не варто платити викуп, щоб у вас не було зашифровано. Такі дії лише підбурюють шахраїв створювати нові вірусні атаки. Слідкуйте за форумами антивірусних компаній, які, я сподіваюся, незабаром вивчать вірус Bad Rabbit і знайдуть потрібне рішення. В обов'язковому порядку виконайте вищеописані пункти захисту вашої ОС. У разі виникнення труднощів під час їх виконання, відпишіться у коментарях.
Вірус-шифрувальник, відомий як Bad Rabbit, атакував десятки тисяч комп'ютерів в Україні, Туреччині та Німеччині. Але найбільше атак припало на Росію. Що це за вірус та як захистити свій комп'ютер, розповідаємо у нашій рубриці "Питання-відповідь".
Хто постраждав у Росії від Bad Rabbit?
Вірус-шифрувальник Bad Rabbit почав поширюватися 24 жовтня. Серед постраждалих від його дії - інформагентство "Інтерфакс", видання "Фонтанка.ру".
Також від дій хакерів постраждали метрополітен Києва та аеропорт Одеси. Після стало відомо про спробу злому системи кількох російських банків із топ-20.
За всіма ознаками це цілеспрямована атака на корпоративні мережі, оскільки використовуються методи, подібні до тих, що спостерігалися при атаці вірусу ExPetr.
Новий вірус всім висуває одну вимогу: викуп 0,05 біткоїну. У перерахунку на рублі це близько 16 тисяч карбованців. При цьому він повідомляє, що час виконання цієї вимоги обмежений. На все про все дається трохи більше 40 годин. Далі плата за викуп збільшиться.
Що це за вірус та як він працює?
Чи вдалося вже з'ясувати, хто стоїть за його поширенням?
З'ясувати, хто стоїть за цією атакою, поки що не вдалося. Розслідування лише призвело програмістів до доменного імені.
Фахівці антивірусних компаній відзначають схожість нового вірусу із вірусом Petya.
Але, на відміну від минулих цьогорічних вірусів, цього разу хакери вирішили піти простим шляхом, повідомляє 1tv.ru .
"Очевидно, злочинці очікували, що в більшості компаній користувачі оновлять свої комп'ютери після двох цих атак, і вирішили випробувати досить дешевий засіб - соціальну інженерію, щоб спочатку відносно непомітно заражати користувачів", - повідомив керівник відділу антивірусних досліджень "Лабораторії Касперського" В'ячеслав Закоржевський.
Як захистити свій комп'ютер від вірусу?
Обов'язково зробіть резервну копію системи. Якщо ви використовуєте для захисту Касперський, ESET, Dr.Web чи інші популярні аналоги, слід оперативно оновити бази даних. Також для Касперського необхідно включити "Моніторинг активності" (System Watcher), а в ESET застосувати сигнатури з оновленням 16295, інформує talkdevice.
Якщо у вас немає антивірусників, заблокуйте виконання файлів C:\Windows\infpub.dat та C:\Windows\cscc.dat. Робиться це через редактор групових політик чи програму AppLocker для Windows.
Забороніть виконання служби - Windows Management Instrumentation (WMI). Через праву кнопку увійдіть у властивості служби та виберіть у "Тип запуску" режим "Вимкнуто".
Вірус-вимагач Bad Rabbit дістався найбільших російських банків, а також протестував на міцність захисну систему Центробанку Росії. За даними компанії, яка займається розслідуваннями кіберзлочинів, вірус намагався зламати систему банків із топ-20. Про те, як фінансові організації справлялися із нападками «поганого кролика» – у матеріалі «360».
Наступна новина
Центробанк Росії зафіксував атаку хакерів вірусу Bad Rabbit на ряд російських банків, повідомляється в прес-релізі регулятора. При цьому дані фінансових організацій від дій шифрувальника не постраждали, зазначають у ЦП.
Відмінною особливістю цього шкідливого програмного забезпечення є здатність збирати паролі користувачів заражених комп'ютерів, а також завантаження додаткових шкідливих модулів з використанням даних. Зловмисники надсилають на e-mail лист із вкладеним вірусом, шляхом обману чи зловживання довірою вони спонукають користувача відкрити шкідливий файл, після чого шкідливе програмне забезпечення активується
- Повідомлення Центробанку.
Монетарний регулятор попереджає, що кібератаки можуть поновитися. Співробітники Центробанку вже розіслали банкам рекомендації про те, як можна виявити шкідливе програмне забезпечення, та розповіли методи протидії йому. Крім того, відомство планує проаналізувати вчинені на території Росії кібератаки Bad Rabbit та розробити механізми для захисту від вірусу-вимагача.
Банки під прицілом
Напередодні вірус-шифрувальник Bad Rabbit намагався атакувати російські банки з першої двадцятки. Втім, атаки не увінчалися успіхом, розповів Ілля Сачков, гендиректор компанії Group-IB, яка займається розслідуванням кіберзлочинів. Аналітики Group-IB зафіксували спроби зараження вірусом комп'ютерного забезпечення низки російських банків, які використовують систему виявлення вторгнень, розроблену компанією.
«Ці файли приходили туди у вівторок з 13:00 до 15:00 за київським часом. Тобто, на банки цей вірус теж намагалися поширити», — наводить слова Сачкова РИА «Новости». Які саме банківські організації зазнали атаки «поганого кролика» представники компанії вважали за краще замовчати.
У прес-службі Россільгоспбанку редакції «360» розповіли, що у банку не зафіксували спроб здійснення кібератак на свої інформаційні ресурси. Також представник фінансової організації зазначив, що у банку «здійснюється контроль та моніторинг інформаційної безпеки інформаційних активів, а також приділяється особлива увага появі підозрілої вірусної та мережевої активності».
Представник "Райффайзенбанку" зазначив, що всі сервіси банку працюють у звичайному режимі. «Ми знаємо про загрозу, всі необхідні заходи було вжито. „Райффайзенбанк“ традиційно приділяє пильну увагу питанням кібербезпеки як з точки зору внутрішньої інфраструктури, так і сервісів, що надаються клієнтам», – розповіла прес-секретар банку Олександра Сисоєва.
Банківській системі вдалося відбити удар Bad Rabbit, оскільки атаки хакерів на фінансові організації проводяться в щоденному режимі, розповів «360» заступник керівника лабораторії з комп'ютерної криміналістики Group-IB Сергій Нікітін.
Банки стикаються з кібератаками щодня, тому всі листи та сторонні файли там перевіряють через «пісочницю» (спеціально виділене середовище для безпечного виконання комп'ютерних програм — «360»). Проте якби банкам не вдалося відбити атаку, це призвело б до втрати даних, які часто неможливо розшифрувати навіть після того, як шахраям виплачують гроші.
- Сергій Нікітін.
Експерт зазначив, що цей тип вірусу не спрямований на розкрадання коштів у банку, оскільки спеціалізується лише на шифруванні інформації про користувачів.
Послідовник NotРеtya
РІА «Новини» / Володимир Трефілов
Новий шифрувальник – це модифікована версія вірусу NotPetya, який вразив IT-системи організацій у кількох країнах у червні. На зв'язок BadRabbit з NotPetya вказують збіги коду. Це говорить про те, що у них може бути один і той самий творець, розповів керівник аналітичного центру Zecurion Володимир Ульянов.
Ці віруси відносяться до одного класу. При цьому шифрувальникNotPetya був більш масштабним, оскільки він використовував вразливість в операційній системі Windows, а "поганий кролик" пропонує завантажити вірус під виглядом плеєра. Я думаю, Bad Rabbit навряд чи набуде сильного поширення в Росії, оскільки захист від нього вже розробленоу всіх антивірусних компаніях, додатками яких користуються банки та інші організації
- Володимир Ульянов.
В атаці використовується програма Mimikatz, яка перехоплює на зараженій машині логіни та паролі. Також у коді є вже прописані логіни та паролі для спроб отримання адміністративного доступу. За розшифровку файлів зловмисники вимагають 0,05 біткойна, що за сучасним курсом приблизно еквівалентно 283 доларам або 15,7 тисяч рублів.
Вірус-шифрувальник BadRabbit зробив майже двісті спроб кібератак по всьому світу, йдеться у звіті «Лабораторії Касперського». «Більшість жертв перебуває у Росії. Найменша кількість атак спостерігалася і в інших країнах — Україні, Туреччині та Німеччині», — зазначили у компанії.
Щоб не стати жертвою «поганого кролика», необхідно заборонити виконання файлів C:windowsinfpub.dat, C:Windowscscc.dat і поставити їм права тільки для читання, порадили користувачам в Лабораторії Касперського. Крім того, рекомендується оперативно ізолювати комп'ютери, зазначені в тикетах (події в системі виявлення вторгнень), а також перевірити актуальність та цілісність резервних копій ключових мережних вузлів.
Наступна новина
