Він уже заразив комп'ютери трьох російських ЗМІ і, ймовірно, він викликав неполадки інформаційних систем в Україні.

В закладки

Вдень 24 жовтня працюватимуть сайти інформагентства «Інтерфакс» та петербурзької газети «Фонтанка»: представники обох повідомили, що причина полягала у вірусній атаці. Пізніше про атаку хакерів на українське Мінінфраструктури, метро Києва та аеропорт Одеси.

Поки точно не відомо, чи всі ці атаки пов'язані, але всі вони відбулися приблизно в один і той же час - про них стало відомо з різницею в кілька годин. Як мінімум, російські ЗМІ атакував той самий вірус-шифрувальник, розповідають у компанії Group-IB і уточнюють, що державні установи в Україні також могли стати його жертвою.

Автори самого вірусу називають його Bad Rabbit. TJ розповідає, що відомо про вірус.

• Зараження Bad Rabbit нагадує у травні 2017 року: від нього постраждали в основному компанії в Росії та Україні, поширення вірусу відбувалося дуже стрімко, хакери вимагали викуп. Але в Group-IB кажуть, що сам Bad Rabbit не схожий на Petya.A чи WannaCry – зараз фахівці вивчають заражені комп'ютери;
• Вірус заражає комп'ютер, шифруючи на ньому файли. Отримати доступ до них не можна. На екрані комп'ютера з'являється докладне повідомлення з інструкціями: у Telegram-каналі Group-IB опублікували фото прикладів таких заражених комп'ютерів;

Фото Group-IB

• В інструкції йдеться, що для розшифрування файлів потрібно лише ввести пароль. Але щоб його отримати, потрібно пройти чималий шлях. По-перше, зайти на спеціальний сайт за адресою caforssztxqzf2nm.onion у даркнеті - для цього буде потрібно браузер Tor. Судячи з опублікованих Group-IB фотографій, сайт скрізь вказаний однаковий;
• На сайті і вказана назва вірусу – Bad Rabbit. Щоб отримати пароль на розшифровку даних, хакери вимагають ввести персональний код установки - довгий шифр з повідомлення, що виводиться на екрані комп'ютера. Після цього з'явиться адреса биткоин-гаманця, який потрібно переказати гроші;
• Судячи з сайту Bad Rabbit, здирники вимагають викуп в 0,05 біткоїну за кожен комп'ютер. За курсом на 24 жовтня це приблизно 283 долари або 16,5 тисячі рублів (Petya.A теж вимагав близько 300 доларів);
• Знову ж таки, судячи з сайту вірусу, здирники дають лише дві доби (48 годин) на виплату початкового викупу. Після закінчення цього терміну ціна за розшифрування файлів зросте, наскільки – невідомо;
• Перевірити адресу біткоїн-гаманця, на який хакери отримують кошти, за допомогою доступних кодів із фотографій Group-IB не вийшло. Можливо, вони вже були використані, можливо, ми припустилися помилки - все-таки код довжиною 356 символів;

Вконтакте

Однокласники

Буквально днями на території Росії та України, Туреччини, Німеччини, а також Болгарії почалася масштабна атака хакерів новим вірусом-шифрувальником Bad Rabbit, він же Diskcoder.D. Вірус зараз атакує корпоративні мережі великих та середніх організацій, блокуючи всі мережі. Сьогодні ми розповімо що з себе є цей троян і як можна убезпечити себе від нього.

Вірус Bad Rabbit (Поганий Кролик) працює за стандартною для шифрувальників схемою: потрапляючи в систему, він кодує файли, за розшифровку яких хакери вимагають 0,05 біткоїну, що за курсом становить 283 $ (або 15 700 руб). Про це повідомляється окремим вікном, куди, власне, і потрібно вводити придбаний ключ. Загроза відноситься до типу троян Trojan.Win32.Generic, але в ньому є й інші компоненти, такі як DangerousObject.Multi.Generic і Ransom.Win32.Gen.ftl.

Повністю відстежити всі джерела зараження поки що важко, проте експерти цим зараз займаються.

Імовірно, загроза потрапляє на ПК через заражені сайти, налаштовані на перенаправлення, або під виглядом фейкових оновлень для популярних плагінів типу Adobe Flash. Перелік таких сайтів поки що тільки збільшується.

Відразу слід зазначити, що зараз всі антивірусні лабораторії взялися за аналіз цього трояна. Якщо безпосередньо шукати інформацію з видалення вірусу, її, як такої, немає. Відкинемо відразу стандартні поради, типу зробіть бекап системи, точку повернення, видаліть певні файли. Якщо у вас немає збережень, то все інше не працює, хакери ці моменти через специфікацію вірусу прорахували.

Є можливість, що незабаром будуть розповсюджені створені любителями дешифратори для Bad Rabbit - вестися на ці програми або ні - ваша особиста справа. Як продемонстрував минулий шифрувальник Petya, це мало кому допомагає.

А ось попередити загрозу та видалити її під час спроби залізти у ПК реально. Першими на новину про вірусну епідемію відреагували лабораторії Kaspersky та ESET, які вже зараз блокують спроби проникнення.

Браузер Google Chrome у тому числі став виявляти заражені ресурси та попереджати про їхню небезпеку. Ось що необхідно зробити для захисту від BadRabbit насамперед:

1. Якщо ви використовуєте для захисту Касперський, ESET, Dr.Web або інші відомі аналоги, то вам потрібно обов'язково виконати оновлення баз даних. Для Касперського, у тому числі потрібно включити «Моніторинг активності» (System Watcher), а ESET застосуйте сигнатури з оновленням 16295.

2. Якщо ви не користуєтесь антивірусами, тоді потрібно заблокувати виконання файлів C:\Windows\infpub.dat та C:\Windows\cscc.dat. Робиться це за допомогою редактора групових політик, або програми AppLocker для Windows.

3. По можливості варто заборонити виконання служби – Windows Management Instrumentation (WMI). У 10-й версії служба називається "Інструментарій керування Windows". За допомогою правої кнопки увійдіть у властивості служби та виберіть у «Тип запуску» режим «Вимкнуто».

Обов'язково необхідно створити резервну копію вашої системи. В ідеалі, копія повинна завжди зберігатися на носії, що підключається.

На завершення потрібно відзначити найголовніше - не варто платити викуп, щоб у вас не було зашифровано. Такі дії лише підбурюють шахраїв створювати нові вірусні атаки. Слідкуйте за форумами антивірусних компаній, які, я сподіваюся, незабаром вивчать вірус Bad Rabbit і знайдуть потрібне рішення. В обов'язковому порядку виконайте вищеописані пункти захисту вашої ОС. У разі виникнення труднощів під час їх виконання, відпишіться у коментарях.

Новий вірус-шифрувальник Bad Rabbit ("Поганий кролик") у вівторок атакував сайти низки російських ЗМІ. Зокрема, атаки зазнали інформаційні системи агентства "Інтерфакс", а також сервер петербурзького порталу новин "Фонтанка". Після полудня Bad Rabbit почав розповсюджуватись на Україні – вірус вразив комп'ютерні мережі Київського метрополітену, міністерства інфраструктури, міжнародного аеропорту Одеси. Схожі атаки спостерігаються в Туреччині та Німеччині, хоча й у значно меншій кількості. ТАРС пояснює, що це за вірус, як від нього уберегтися і хтось може за ним стояти.

Bad Rabbit – це вірус-шифрувальник

Шкідлива програма заражає комп'ютер, шифруючи у ньому файли. Для отримання доступу до них вірус пропонує здійснити платіж на вказаному сайті в даркнеті (для цього буде потрібно браузер Tor). За розблокування кожного комп'ютера хакери вимагають заплатити 0,05 біткойна, тобто приблизно 16 тис. рублів або $280. На викуп відводиться 48 годин після закінчення цього терміну сума збільшується.

За лабораторією комп'ютерної криміналістики компанії Group-IB, вірус-шифрувальник намагався атакувати не лише російські ЗМІ, а й російські банки з топ-20, проте йому це не вдалося.

За вірусною лабораторією ESET в атаці використовувалося шкідливе програмне забезпечення Diskcoder.D - нова модифікація шифратора, відомого як Petya. Попередня версія Diskcoder була задіяна у червні 2017 року. У Group-IB , що вірус Bad Rabbit міг написати автор NotPetya (це оновлена ​​версія "Петі" 2016) або його послідовник.

"Роздача шкідливого програмного забезпечення проводилася з ресурсу 1dnscontrol.com. Він має IP 5.61.37.209, з цим доменним ім'ям та IP-адресою пов'язані такі ресурси: webcheck01.net, webdefense1.net, secure-check.host, firewebmail.com, secureinbox. email, secure-dns1.net", - ТАРС у Group-IB. У компанії зазначили, що на власників цих сайтів зареєстровано безліч ресурсів, наприклад так звані фарм-партнерки — сайти, які через спам продають контрафактні медикаменти. "Не виключено, що вони використовувалися для розсилки спаму, фішингу", - додали в компанії.

Bad Rabbit поширювався під виглядом оновлення плагіна Adobe Flash

Користувачі самостійно схвалювали встановлення цього оновлення та таким чином заражали свій комп'ютер. "Жодних уразливостей взагалі не було, користувачі самі запускали файл", - заступник голови лабораторії комп'ютерної криміналістики Group-IB Сергій Нікітін. Потрапивши до локальної мережі, Bad Rabbit краде з пам'яті логіни та паролі і може самостійно встановлюватися на інші комп'ютери.

Вірусу досить легко уникнути

Щоб захиститись від зараження Bad Rabbit, компаніям достатньо заблокувати зазначені домени для користувачів корпоративної мережі. Домашнім користувачам слід оновити Windows та антивірусний продукт – тоді цей файл детектуватиметься як шкідливий.

Користувачі вбудованого антивірусу операційної системи Windows – Windows Defender Antivirus – вже від Bad Rabbit. "Ми продовжуємо розслідування, і при необхідності ми вживемо додаткових заходів щодо захисту наших користувачів", - ТАРС прес-секретар корпорації Microsoft в Росії Крістіна Давидова.

"Лабораторія Касперського" також підготувала для того, щоби не стати жертвами нової епідемії. Виробник антивірусів порадив усім зробити бекап (резервне копіювання). Крім того, компанія рекомендувала заблокувати виконання файлу c:\windows\infpub.dat, C:\Windows\cscc.dat, а також, якщо можливо, заборонити використання сервісу WMI.

Мінкомзв'язку вважає, що атака на російські ЗМІ не була цілеспрямованою

"При всій повазі до великих ЗМІ, це не критичний об'єкт інфраструктури", - голова Мінкомзв'язку Микола Никифоров, додавши, що якусь мету хакери навряд чи переслідували. На його думку, такі атаки, зокрема, пов'язані з порушенням заходів безпеки під час підключення до "відкритого інтернету". "Швидше за все, ця інформаційна система ("Інтерфаксу" - прим. ТАРС) не сертифікована", - припустив міністр.

Основна хвиля поширення вірусу вже завершилась

"Наразі можна говорити про припинення активного поширення вірусу, третя епідемія практично завершилася. Навіть домен, через який поширювався Bad Rabbit, уже не відповідає", - у Group-IB. За словами Сергія Нікітіна, можливі поодинокі випадки зараження вірусом, зокрема в корпоративних мережах, де вже були вкрадені логіни та паролі, і вірус може встановити сам, без участі користувача. Проте вже можна говорити про завершення основної хвилі третьої епідемії вірусу-шифрувальника у 2017 році.

Нагадаємо, що у травні комп'ютери по всьому світу атакував вірус. На заражених комп'ютерах блокувалася інформація, а за розблокування даних зловмисники вимагали $600 у біткойнах. У червні інший вірус під назвою Petya атакував нафтові, телекомунікаційні та фінансові компанії Росії, України та деякі країни ЄС. Принцип його дії був таким самим: вірус шифрував інформацію і вимагав викуп у розмірі $300 у біткойнах.

Вірус-вимагач Bad Rabbit дістався найбільших російських банків, а також протестував на міцність захисну систему Центробанку Росії. За даними компанії, яка займається розслідуваннями кіберзлочинів, вірус намагався зламати систему банків із топ-20. Про те, як фінансові організації справлялися із нападками «поганого кролика» – у матеріалі «360».

Наступна новина

Центробанк Росії зафіксував атаку хакерів вірусу Bad Rabbit на ряд російських банків, повідомляється в прес-релізі регулятора. При цьому дані фінансових організацій від дій шифрувальника не постраждали, зазначають у ЦП.

Відмінною особливістю цього шкідливого програмного забезпечення є здатність збирати паролі користувачів заражених комп'ютерів, а також завантаження додаткових шкідливих модулів з використанням даних. Зловмисники надсилають на e-mail лист із вкладеним вірусом, шляхом обману чи зловживання довірою вони спонукають користувача відкрити шкідливий файл, після чого шкідливе програмне забезпечення активується

- Повідомлення Центробанку.

Монетарний регулятор попереджає, що кібератаки можуть поновитися. Співробітники Центробанку вже розіслали банкам рекомендації про те, як можна виявити шкідливе програмне забезпечення, та розповіли методи протидії йому. Крім того, відомство планує проаналізувати вчинені на території Росії кібератаки Bad Rabbit та розробити механізми для захисту від вірусу-вимагача.

Банки під прицілом

Напередодні вірус-шифрувальник Bad Rabbit намагався атакувати російські банки з першої двадцятки. Втім, атаки не мали успіху, розповів Ілля Сачков, гендиректор компанії Group-IB, яка займається розслідуваннями кіберзлочинів. Аналітики Group-IB зафіксували спроби зараження вірусом комп'ютерного забезпечення низки російських банків, які використовують систему виявлення вторгнень, розроблену компанією.

«Ці файли приходили туди у вівторок з 13:00 до 15:00 за київським часом. Тобто, на банки цей вірус теж намагалися поширити», — наводить слова Сачкова РИА «Новости». Які саме банківські організації зазнали атаки «поганого кролика» представники компанії вважали за краще замовчати.

У прес-службі Россільгоспбанку редакції «360» розповіли, що у банку не зафіксували спроб здійснення кібератак на свої інформаційні ресурси. Також представник фінансової організації зазначив, що у банку «здійснюється контроль та моніторинг інформаційної безпеки інформаційних активів, а також приділяється особлива увага появі підозрілої вірусної та мережевої активності».

Представник "Райффайзенбанку" зазначив, що всі сервіси банку працюють у звичайному режимі. «Ми знаємо про загрозу, всі необхідні заходи було вжито. „Райффайзенбанк“ традиційно приділяє пильну увагу питанням кібербезпеки як з точки зору внутрішньої інфраструктури, так і сервісів, що надаються клієнтам», – розповіла прес-секретар банку Олександра Сисоєва.

Банківській системі вдалося відбити удар Bad Rabbit, оскільки атаки хакерів на фінансові організації проводяться в щоденному режимі, розповів «360» заступник керівника лабораторії з комп'ютерної криміналістики Group-IB Сергій Нікітін.

Банки стикаються з кібератаками щодня, тому всі листи та сторонні файли там перевіряють через «пісочницю» (спеціально виділене середовище для безпечного виконання комп'ютерних програм — «360»). Проте якби банкам не вдалося відбити атаку, це призвело б до втрати даних, які часто неможливо розшифрувати навіть після того, як шахраям виплачують гроші.

- Сергій Нікітін.

Експерт зазначив, що цей тип вірусу не спрямований на розкрадання коштів у банку, оскільки спеціалізується лише на шифруванні інформації про користувачів.

Послідовник NotРеtya

РІА «Новини» / Володимир Трефілов

Новий шифрувальник – це модифікована версія вірусу NotPetya, який вразив IT-системи організацій у кількох країнах у червні. На зв'язок BadRabbit з NotPetya вказують збіги коду. Це говорить про те, що у них може бути один і той самий творець, розповів керівник аналітичного центру Zecurion Володимир Ульянов.

Ці віруси належать до одного класу. При цьому шифрувальникNotPetya був більш масштабним, оскільки він використовував вразливість в операційній системі Windows, а «поганий кролик» пропонує завантажити вірус під виглядом плеєра. Я думаю, Bad Rabbit навряд чи набуде сильного поширення в Росії, оскільки захист від нього вже розробленоу всіх антивірусних компаніях, додатками яких користуються банки та інші організації

- Володимир Ульянов.

В атаці використовується програма Mimikatz, яка перехоплює на зараженій машині логіни та паролі. Також у коді є вже прописані логіни та паролі для спроб отримання адміністративного доступу. За розшифровку файлів зловмисники вимагають 0,05 біткойна, що за сучасним курсом приблизно еквівалентно 283 доларам або 15,7 тисяч рублів.

Вірус-шифрувальник BadRabbit зробив майже двісті спроб кібератак по всьому світу, йдеться у звіті «Лабораторії Касперського». «Більшість жертв перебуває у Росії. Найменша кількість атак спостерігалася і в інших країнах — Україні, Туреччині та Німеччині», — зазначили у компанії.

Щоб не стати жертвою «поганого кролика», необхідно заборонити виконання файлів C:windowsinfpub.dat, C:Windowscscc.dat і поставити їм права тільки для читання, порадили користувачам в Лабораторії Касперського. Крім того, рекомендується оперативно ізолювати комп'ютери, зазначені в тикетах (події в системі виявлення вторгнень), а також перевірити актуальність та цілісність резервних копій ключових мережних вузлів.

Наступна новина

Вітаю Вас, дорогі відвідувачі та гості даного блогу! Сьогодні у світі з'явився черговий вірус-шифрувальник на ім'я: « Bad Rabbit» — « Злісний кролик«. Це вже третій гучний шифрувальник за 2017 рік. Попередні були і (він же NotPetya).

Bad Rabbit — Хто вже постраждав і чи багато грошей вимагає?

Поки що, ймовірно, від цього шифрувальника постраждали кілька російських медіа - серед них Інтерфакс і Фонтанка. Також про хакерську атаку - можливо, пов'язану з тим самим Bad Rabbit, - повідомляє аеропорт Одеси.

За розшифровку файлів зловмисники вимагають 0,05 біткойна, що за сучасним курсом приблизно еквівалентно 283 доларів або 15 700 рублів.

Результати дослідження "Лабораторії Касперського" говорять про те, що в атаці не використовуються експлойти. Bad Rabbit поширюється через заражені веб-сайти: користувачі завантажують фальшивий інсталятор Adobe Flash, вручну запускають його і тим самим заражають свої комп'ютери.

Як повідомляє «Лабораторія Касперського», експерти розслідують цю атаку і шукають способи боротьби з ним, а також шукають можливість дешифрування файлів, що постраждали від шифрувальника.

Більшість постраждалих від атаки перебувають у Росії. Також відомо, що схожі атаки відбуваються в Україні, Туреччині та Німеччині, але в набагато меншій кількості. Шифрувальник Bad Rabbitпоширюється через низку заражених сайтів російських ЗМІ.

"Лабораторія Каперського" вважає, що всі ознаки вказують на те, що це цілеспрямована атака на корпоративні мережі. Використовуються методи, схожі на те, що ми спостерігали в атаці ExPetr, проте зв'язку з ExPetr ми не підтвердити.

Вже відомо, що продукти «Лабораторії Касперського» детектують один із компонентів зловреда за допомогою хмарного сервісу Kaspersky Security Network як UDS: DangerusObject.Multi.Generic, а також за допомогою System Watcher як PDM: Trojan.Win32.Generic.

Як захистити себе від вірусу Bad Rabbit?

Щоб не стати жертвою нової епідемії «Поганого кролика», « Лабораторія Касперськогорекомендуємо зробити наступне:

Якщо у вас встановлений Антивірус Касперського, то:

• Перевірте, чи увімкнені у вашому захисному рішенні компоненти Kaspersky Security Network та «Моніторинг активності» (він же System Watcher). Якщо ні – обов'язково увімкніть.

Для тих, хто не має цього продукту:

• Заблокуйте виконання файлу c:\windows\infpub.dat, C:\Windows\cscc.dat. Це можна зробити через .
• Забороніть використання сервісу WMI, якщо це можливо.

Ще дуже важлива порада від мене:

Завжди робіть backup (бекап - резервна копія ) важливих Вам файлів. На знімному носії, у хмарних сервісах! Це збереже ваші нерви, гроші та час!

Бажаю вам не підхопить цієї зарази до себе на ПК. Чистого та безпечного Вам інтернету!