Вірус-шифрувальник, відомий як Bad Rabbit, атакував десятки тисяч комп'ютерів в Україні, Туреччині та Німеччині. Але найбільше атак припало на Росію. Що це за вірус та як захистити свій комп'ютер, розповідаємо у нашій рубриці "Питання-відповідь".

Хто постраждав у Росії від Bad Rabbit?

Вірус-шифрувальник Bad Rabbit почав поширюватися 24 жовтня. Серед постраждалих від його дії - інформагентство "Інтерфакс", видання "Фонтанка.ру".

Також від дій хакерів постраждали метрополітен Києва та аеропорт Одеси. Після стало відомо про спробу злому системи кількох російських банків із топ-20.

За всіма ознаками це цілеспрямована атака на корпоративні мережі, оскільки використовуються методи, подібні до тих, що спостерігалися при атаці вірусу ExPetr.

Новий вірус всім висуває одну вимогу: викуп 0,05 біткоїну. У перерахунку на рублі це близько 16 тисяч карбованців. При цьому він повідомляє, що час виконання цієї вимоги обмежений. На все про все дається трохи більше 40 годин. Далі плата за викуп збільшиться.

Що це за вірус та як він працює?

Чи вдалося вже з'ясувати, хто стоїть за його поширенням?

З'ясувати, хто стоїть за цією атакою, поки що не вдалося. Розслідування лише призвело програмістів до доменного імені.

Фахівці антивірусних компаній відзначають схожість нового вірусу із вірусом Petya.

Але, на відміну від минулих цьогорічних вірусів, цього разу хакери вирішили піти простим шляхом, повідомляє 1tv.ru .

"Очевидно, злочинці очікували, що в більшості компаній користувачі оновлять свої комп'ютери після двох цих атак, і вирішили випробувати досить дешевий засіб - соціальну інженерію, щоб спочатку відносно непомітно заражати користувачів", - повідомив керівник відділу антивірусних досліджень "Лабораторії Касперського" В'ячеслав Закоржевський.

Як захистити свій комп'ютер від вірусу?

Обов'язково зробіть резервну копію системи. Якщо ви використовуєте для захисту Касперський, ESET, Dr.Web чи інші популярні аналоги, слід оперативно оновити бази даних. Також для Касперського необхідно включити "Моніторинг активності" (System Watcher), а в ESET застосувати сигнатури з оновленням 16295, інформує talkdevice.

Якщо у вас немає антивірусників, заблокуйте виконання файлів C:\Windows\infpub.dat та C:\Windows\cscc.dat. Робиться це через редактор групових політик чи програму AppLocker для Windows.

Забороніть виконання служби - Windows Management Instrumentation (WMI). Через праву кнопку увійдіть у властивості служби та виберіть у "Тип запуску" режим "Вимкнуто".

Декілька російських ЗМІ та українських організацій зазнали атаки шифрувальника Bad Rabbit. Зокрема, хакери атакували три російські ЗМІ, серед яких «Інтерфакс» та «Фонтанка».

24 жовтня розпочалася нова масштабна кібер-атака з використанням вірусу-шифрувальника Bad Rabbit. Зловред вразив комп'ютерні мережі Київського метрополітену, Міністерства інфраструктури, Міжнародного аеропорту Одеса. Декілька жертв опинилися і в Росії - в результаті атаки постраждали редакції федеральних ЗМІ, таких як «Інтерфакс» та «Фонтанка».

Kill Switch: необхідно створити файл C:\windows\infpub.dat і виставити йому права "тільки для читання". У цьому випадку навіть при зараженні файли не будуть зашифровані.

Найімовірніше вірус поширюється через зламані веб-сайти, пропонуючи користувачам встановити оновлення флеш-плеєра:

Попередній аналіз показує, що зловред поширюється через низку заражених сайтів російських ЗМІ. Всі ознаки вказують на те, що це цілеспрямована атака на корпоративні мережі.

Після проникнення на комп'ютер жертви шкідлива програма шифрує файли користувача. Для відновлення доступу до закодованих даних пропонується заплатити викуп у розмірі 0,05 біткойна, що за сучасним курсом приблизно еквівалентно 283 доларів США або 15 700 рублів. При цьому зловмисники попереджають, що у разі зволікання ціна за розшифровку зросте.

Подробиці про схему поширення Bad Rabbit поки що відсутні. Не зрозуміло й те, чи можна розшифрувати файли. Але вже відомо, що більшість жертв атаки перебувають у Росії. Крім того, схожі напади зафіксовані в Україні, Туреччині та Німеччині, але у значно меншій кількості.

Про хакерську атаку повідомила і прес-служба Київського метрополітену. Хакерам вдалося порушити можливість оплати проїзду за допомогою безконтактних банківських карток. "Увага! Кібератака! Метро працює у звичайному режимі, крім банківських сервісів (оплата безконтактними банківськими картками на жовтому турнікеті або MasterPass)», - повідомляється в офіційному обліковому записі київського метро у Facebook.

Зловмисники просять своїх жертв перейти на посилання ведучої на TOR-сайт, на якому запускається автоматичний лічильник. Після оплати, як запевняють зловмисники, жертва повинна отримати персональний ключ до розшифровки.

Поки невідомі способи розповсюдження та закріплення в системі, а також немає достовірної інформації щодо наявності ключів розшифровки.

Співробітники Лабораторії Касперського рекомендують такі дії:

Заблокуйте виконання файлу c:\windows\infpub.dat, C:\Windows\cscc.dat.
Забороніть використання сервісу WMI, якщо це можливо.

Пост буде оновлено в міру надходження інформації.

Може бути провісником третьої хвилі вірусів-шифрувальників, вважають у «Лабораторії Касперського». Першими двома були гучні WannaCry і Petya (він же NotPetya). Про виникнення нової мережевої шкоди та про те, як захиститися від його потужної атаки, «СВІТ 24» розповіли експерти з кібербезпеки.

Здебільшого постраждалі від атаки Bad Rabbit («Поганого кролика») перебувають у Росії. На території України, Туреччини та Німеччини їх значно менше, зазначив керівник відділу антивірусних досліджень «Лабораторії Касперського» В'ячеслав Закоржевський. Ймовірно, другим за активністю виявилися ті країни, де користувачі активно стежать за російськими інтернет-ресурсами.

Коли шкідлива програма заражає комп'ютер, вона шифрує файли. Поширюється вона за допомогою веб-трафіку зі зламаних інтернет-ресурсів, серед яких опинилися переважно сайти федеральних російських ЗМІ, а також комп'ютери та сервери київського метрополітену, українського міністерства інфраструктури, міжнародного аеропорту "Одеса". Зафіксовано невдалу спробу атакувати російські банки з топ-20.

Про те, що «Фонтанку», «Інтерфакс» та низку інших видань атакували Bad Rabbit, повідомила вчора компанія Group-IB – вона спеціалізується на інформаційній безпеці. Аналіз коду вірусу показав, що Bad Rabbit пов'язаний із шифрувальником Not Petya, який у червніцього року атакував енергетичні, телекомунікаційні та фінансові компанії в Україні.

Атака готувалася кілька днів і, незважаючи на масштаби зараження, здирники вимагали від жертв атаки порівняно невеликі суми - 0,05 біткойна (це близько 283 доларів або 15 700 рублів). На викуп приділяється 48 годин. Після закінчення цього терміну зростає сума.

Фахівці Group-IB вважають, що, швидше за все, хакери не мають наміру заробити. Їхня ймовірна мета - перевірити рівень захисту мереж критичної інфраструктури підприємств, державних відомств та приватних компаній.

Стати жертвою атаки легко

Коли користувач заходить на заражений сайт, шкідливий код передає інформацію про нього на віддалений сервер. Далі з'являється спливаюче вікно з пропозицією завантажити оновлення для Flash Player, яке є фальшивим. Якщо користувач схвалив операцію «Install/Встановити», на комп'ютер завантажиться файл, який запустить у системі шифратор Win32/Filecoder.D. Далі доступ до документів буде заблоковано, на екрані з'явиться повідомлення про викуп.

Вірус Bad Rabbit сканує мережу на предмет відкритих мережевих ресурсів, після чого запускає на зараженій машині інструмент для збору облікових даних і цією поведінкою відрізняється від своїх попередників.

Фахівці міжнародного розробника антивірусного програмного забезпечення Eset NOD 32 підтвердили, що Bad Rabbit – нова модифікація вірусу Petya, принцип дії якого був таким самим – вірус шифрував інформацію та вимагав викуп у біткоїнах (сума була порівнянна з Bad Rabbit – 300 доларів). У новій шкідливій програмі виправлено помилки у шифруванні файлів. Код, використаний у вірусі, призначений для шифрування логічних дисків, зовнішніх USB-накопичувачів та образів CD/DVD, а також системних завантажувальних розділів диска.

Говорячи про аудиторію, яка зазнала атак Bad Rabbit, керівник підтримки продажів ESET Russia Віталій Земськихзаявив про те, що 65% атак, зупинених антивірусними продуктами компанії, припадають на Росію. В іншому географія нового вірусу виглядає так:

Україна – 12,2%

Болгарія – 10,2%

Туреччина – 6,4%

Японія – 3,8%

інші – 2,4%

Вимагач використовує відоме програмне забезпечення з відкритим кодом під назвою DiskCryptor для шифрування дисків жертви. Екран повідомлення про блокування, який бачить користувач, майже ідентичний екранам блокування Petya та NotPetya. Тим не менш, це єдина подібність, яку ми спостерігали досі між двома шкідниками. У всіх інших аспектах BadRabbit - абсолютно новий і унікальний вид здирника», - вважає технічний директор компанії Check Point Software Technologies Микита Дуров.

Як захиститись від Bad Rabbit?

Власники операційних систем, відмінних від Windows, можуть полегшено зітхнути, оскільки новий вірус-шифрувальник робить уразливими лише комп'ютери з цією «віссю».

Для захисту від мережевого шкідника фахівці рекомендують створити на своєму комп'ютері файл C:\windows\infpub.dat, при цьому встановити для нього права "тільки для читання" - це нескладно зробити в розділі адміністрування. Таким чином ви заблокуєте виконання файлу, і всі документи, що надходять ззовні, не будуть зашифровані навіть у тому випадку, якщо виявляться зараженими. Щоб не втратити цінних даних у разі зараження вірусом, вже зараз зробіть бекап (резервну копію). І, зрозуміло, варто пам'ятати, що виплата викупу - пастка, яка не гарантує розблокування комп'ютера.

Нагадаємо, вірус у травні цього року поширився не менш ніж у 150 країнах світу. Він шифрував інформацію та вимагав заплатити викуп, за різними даними, від 300 до 600 доларів. Від нього постраждали понад 200 тисяч користувачів. За однією з версій його творці взяли за основу шкідливу програму АНБ США Eternal Blue.

З експертами спілкувалася Алла Смирнова

24 жовтня багатьох користувачів в Україні та Росії «відвідав великодній кролик». Тільки він приніс не подарунки та радість, а величезну кількість проблем. Та й назвали його відповідно – Bad Rabbit (або як пишуть деякі фахівці – BadRabbit). Саме під такою назвою почав поширюватися черговий вірус-шифрувальник.

Хто постраждав?

Перші відомості про атаку з'явилися 24 жовтня. Постраждали багато держкомпаній в Україні (Київський метрополітен, Одеський аеропорт) та Росії, а також деякі ЗМІ. Також атаки зазнали і фінустанови, але зловмисникам не вдалося завдати їм шкоди. У свою чергу представники компанії ESET повідомили, що проблеми виникли не тільки в Росії та Україні, але також у Туреччині, Японії та Болгарії.

Після блокування ПК малеча повідомляла користувачеві, що за розблокування даних він повинен перевести 0,05 біткоїну (еквівалентно 280 USD) на рахунок зловмисників.

Як поширюється?

Точних даних про спосіб поширення зловреда не було нічого відомо. У компанії Group-IB зазначили, що атака готувалася кілька днів (хоча на думку представника "Лабораторії Касперського" Костіна Райю підготовка зайняла набагато більше часу).

Проте, вже сьогодні відомо, що зловред поширювався під виглядом звичайних оновлень Adobe Flash, не задіявши пролом у SMB, якою раніше користувалися шифрувальники WannaCry та NotPetya. Але й тут думки фахівців розходяться.

У Group-IB вважають, що Bad Rabbit – модифікація NotPetya, у якій хакерам вдалося виправити помилки в алгоритмі шифрування. У той же час представники Intezer зазначають, що шкідливий код ідентичний лише на 13%.

У ESET та «Лабораторії Касперського» зайняли досить цікаву позицію: у компаніях не виключають, що «злий кролик» може бути послідовником NotPetya, але прямих заяв із цього приводу не роблять.

Як захистити комп'ютер?

На даний момент поширення шифрувальника вже припинено, але фахівці зазначають, що варто подбати про захист своїх ПК від зараження. Для цього створіть файли:

• C:\Windows\infpub.dat та C:\Windows\cscc.dat;
• зніміть із них усі дозволи на виконання (заблокуйте).

I can confirm - Vaccination for

BadRabbit вірус функціонує як нова крипто-загроза, яка зуміла завдати шкоди Східній Європі. Він діє аналогічно сумно відомому чи здирнику, який вибухнув у кіберпросторі кілька місяців тому. Придивившись ближче, хоча є подібності, і ІТ-фахівці підозрюють, що розробник може бути тим самим, але вихідний код зовсім інший.

На даний момент кількість жертв, як то кажуть, перевищила 200 осіб. Схоже, що розробники дуже не люблять Росію та Україну, оскільки ці дві країни найбільше постраждали. Основними цілями є Одеський міжнародний аеропорт в Україні та кілька медіа-корпорацій у Росії, у тому числі Інтерфакс, Фонтанка.ру та ін. Крім того, напад також поширився на сусідні країни, такі як Туреччина та Болгарія.

Привідна атака, що здійснюється через підроблені оновлення Flash Player

Продукт Adobe Flash Player вкотре продемонстрував успіх розробників шкідливих програм. Основний шкідливий компонент програми замаскований під фальшиве Flash оновлення. Шкідлива програма завантажується як install_ flash_ player. exeфайл із пошкоджених сайтів. BadRabbit здирник також може маскуватися під альтернативними іменами файлів.

Як показує VirusTotal аналіз, загроза може ховатися в певному деінсталяторі. На щастя, інфекція вже виявляється більшістю програм безпеки. Шкідлива програма використовує певні вразливості серверів SMB, що пояснює, чому вона здатна проникати в сервери.

Після вторгнення Bad Rabbit здирник створює C:\ Windows\ infpub. datфайл. Отже, він генерує такі файли. C:\ Windows\ cscc. datі C:\ Windows\ dispci. exe. Вони відповідають за зміну параметрів MBR. Цікаво, що шкідливе програмне забезпечення пропонує посилання на персонажів Ігри Престолів. Шкідлива програма BadRabbit створює три завдання, названі в серії після трьох драконів:

• C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat,#1 15
• cmd.exe /c schtasks /Delete /F /TN rhaegal
• cmd.exe /c schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR
• cmd.exe /c schtasks /Create /SC once /TN drogon /UA SYSTEM /TR:00
• C:\Windows\AF93.tmp» \

Він також використовує сервіс шифрування з відкритим кодом під назвою DiskCryptor. Пізніше він використовує стандартні методи шифрування AE та RSA-2048. Вони призначені для різних форматів файлів. Оскільки Petya.A не додає розширення файлу, але втручається в налаштування Master Boot Record (MBR).

Він перезавантажує систему і відображає ту ж записку з викупом, що і NotPetya. Він також спрямовує жертв на свій унікальний сайт оплати. Він коротко інформує їх про шкідливе програмне забезпечення і вимагає викуп 0,05 BTC. Після успішного проникнення шкідливого програмного забезпечення в систему, воно використовує Mimikatz для отримання технічної інформації про інші пристрої, видимі в одній мережі.

BadRabbit вірус продовжує злодіяння Petya.
Метод 1. (Безпечний режим)
Виберіть "Safe Mode with Networking" Метод 1. (Безпечний режим)
Виберіть "Enable Safe Mode with Networking"

Виберіть "Safe Mode with Command Prompt" Метод 2. (Системне відновлення)
Виберіть "Enable Safe Mode with Command Prompt"
Метод 2. (Системне відновлення)
Введіть "cd restore" без лапок і натисніть "Enter"
Метод 2. (Системне відновлення)
Введіть "rstrui.exe" без лапок і натисніть "Enter"
Метод 2. (Системне відновлення)
У вікні "System Restore" виберіть "Next"
Метод 2. (Системне відновлення)
Виберіть точку відновлення та клацніть "Next"
Метод 2. (Системне відновлення)
Натисніть "Yes" і почніть відновлення системи ⇦ ⇨

Слайд 1 з 10

Наприклад, чи допоможуть вам ідентифікувати інфекцію. Такий інструмент може допомогти вам виконати видалення BadRabbit. Нижче наведено інструкції з відновлення доступу до комп'ютера. Після цього ви можете видалити Bad Rabbit вірус.

Усунення крипто-загрози BadRabbit

Через свої специфічні методи роботи не дивно, чому шкідливе ПЗ називається наступним Petya. Якщо ви зіткнулися з цим кібер нещастям, виконайте наведені нижче інструкції. Оскільки вимагач змінює налаштування MBR, ви не зможете одразу завантажити комп'ютер у безпечному режимі. Виконайте вказівки скидання MBR.

Після цього перезавантажте комп'ютер у безпечному режимі, повторно активуйте свої програми безпеки та видаліть BadRabbit вірус. Після сканування запустіть комп'ютер у звичайному режимі та повторіть процедуру. Це підтвердить, що видалення Bad Rabbit завершено. Зауважте, що усунення шкідливих програм не відновлює закодовані файли. Спробуйте відновити їх із резервних копій. Нижче ви знайдете кілька пропозицій.

На Windows 7:

1. Вставте Windows 7 DVD.
2. Запустіть DVD-диск.
3. Виберіть налаштування мови та клавіатури. Натисніть Далі.
4. Виберіть вашу операційну систему, позначте Використовувати інструменти відновлення та натисніть Далі.
5. Зачекайте на екрані Опції системного відновленнята виберіть Командний рядок.
6. Введіть наступні команди і натисніть Enter після кожної: bootrec / rebuildbcd, bootrec / fixmbr, andbootrec / fixboot.
7. Вийміть DVD-диск і перезавантажте ПК.

На системах Windows 8/10:

1. Вставте DVD-диск або USB-накопичувач відновлення.
2. Виберіть опцію Виправлення комп'ютера.
Усунення несправностейі перейдіть в Командний рядок.
3. Введіть наступні команди по одній і натисніть Enterпісля кожної: bootrec / FixMbr, bootrec / FixBoot, bootrec / ScanOs, і bootrec / RebuildBcd.
4. Вийміть DVD або USB-відновлення.
5. Введіть вихід і натисніть клавішу Enter.
6. Перезавантажте комп'ютер.