Nový zlý králičí vírus. Čo je vírus Bad Rabbit a ako sa pred ním chrániť. Keď spoločnosť Kaspersky Lab zistila hrozbu

Ahoj! Len nedávno sa v Rusku a na Ukrajine, v Turecku, Nemecku a Bulharsku začal rozsiahly hackerský útok s novým šifrovacím vírusom Bad Rabbit, známym ako Diskcoder.D. Ransomvér v súčasnosti útočí na podnikové siete veľkých a stredne veľkých organizácií a blokuje všetky siete. Dnes vám povieme, čo je tento trójsky kôň a ako sa pred ním môžete chrániť.

čo je vírus?

Bad Rabbit (Bad Rabbit) funguje podľa štandardnej schémy pre ransomware: keď vstúpi do systému, zakóduje súbory na dešifrovanie, ktorých hackeri vyžadujú 0,05 bitcoinu, čo je pri sadzbe 283 dolárov (alebo 15 700 rubľov). Hlási sa to v samostatnom okne, kde je skutočne potrebné zadať zakúpený kľúč. Hrozbou je trójsky kôň Trojan.Win32.Generic, obsahuje však aj ďalšie zložky, ako napr DangerousObject.Multi.Generic A Ransom .Win 32.Gen .ftl.

Bad Rabbit - nový ransomware vírus

Stále je ťažké úplne vystopovať všetky zdroje infekcie, ale odborníci na tom teraz pracujú. Pravdepodobne sa hrozba dostane do počítača cez infikované stránky, ktoré sú presmerované, alebo pod zámienkou falošných aktualizácií populárnych doplnkov, ako je Adobe Flash. Zoznam takýchto stránok sa len rozširuje.

Je možné vírus odstrániť a ako sa chrániť?

Okamžite treba povedať, že v súčasnosti všetky antivírusové laboratóriá začali analyzovať tento trójsky kôň. Ak konkrétne hľadáte informácie o odstránení vírusu, potom to ako také nie je. Zahoďme hneď štandardnú radu – urobte si zálohu systému, bod návratu, vymažte také a také súbory. Ak nemáte uloženia, potom všetko ostatné nefunguje, hackeri si takéto momenty premysleli kvôli špecifikácii vírusu.

Myslím, že dekodéry pre Bad Rabbit vyrobené amatérmi budú čoskoro distribuované - či budete tieto programy sledovať alebo nie, je vaša vec. Ako ukázal predchádzajúci ransomvér Petya, pomáha to málokomu.

Môžete však zabrániť hrozbe a odstrániť ju, keď sa pokúsite dostať do počítača. Na správy o vírusovej epidémii ako prvé zareagovali Kaspersky a ESET labs, ktoré už blokujú pokusy o prienik. Prehliadač Google Chrome tiež začal identifikovať infikované zdroje a varovať pred ich nebezpečenstvom. Tu je to, čo robiť na ochranu pred BadRabbit v prvom rade:

1. Ak na ochranu používate Kaspersky, ESET, Dr.Web alebo iné populárne analógy, určite musíte aktualizovať databázy. Pre Kaspersky je tiež potrebné povoliť “Monitoring aktivity” (System Watcher) a v ESETe použiť podpisy s aktualizáciou 16295.

   

2. Ak nepoužívate antivírusy, musíte zablokovať spustenie súborov C:\Windows\infpub.dat A C:\Windows\cscc.dat. To sa vykonáva pomocou Editora zásad skupiny alebo programu AppLocker pre Windows.

Je žiaduce zakázať vykonávanie služby - Windows Management Instrumentation (WMI). V prvej desiatke je služba tzv "Windows Management Instrumentation". Cez pravé tlačidlo zadajte vlastnosti služby a vyberte v "Typ spustenia" režim "Zakázané".



3. Nezabudnite si zálohovať systém. Teoreticky by mala byť kópia vždy uložená na vymeniteľnom médiu. Tu je krátky video návod, ako ho vytvoriť.

Záver

Na záver stojí za to povedať to najdôležitejšie - nemali by ste platiť výkupné, bez ohľadu na to, čo ste zašifrovali. Takéto akcie len podnecujú podvodníkov k vytváraniu nových vírusových útokov. Sledujte fóra antivírusových spoločností, ktoré dúfam, že čoskoro preštudujú vírus Bad Rabbit a nájdu účinnú tabletku. Ak chcete chrániť svoj operačný systém, postupujte podľa vyššie uvedených krokov. V prípade ťažkostí s ich implementáciou sa odhláste v komentároch.

Zdravím vás, milí návštevníci a hostia tohto blogu! Dnes sa na svete objavil ďalší ransomware vírus s názvom: zlý králik» — « Zlý králik". Toto je už tretí senzačný ransomvér pre rok 2017. Tie predchádzajúce boli (aka NotPetya).

Zlý králik - Kto už trpel a koľko peňazí si to vyžaduje?

Týmto ransomvérom údajne doteraz trpelo viacero ruských médií – medzi nimi Interfax a Fontanka. Aj o hackerskom útoku - možno súvisiacom s tým istým zlým králikom - informuje letisko v Odese.

Za dešifrovanie súborov útočníci požadujú 0,05 bitcoinov, čo pri súčasnom kurze približne zodpovedá 283 dolárom alebo 15 700 rubľov.

Výsledky štúdie Kaspersky Lab ukazujú, že exploity sa pri útoku nepoužívajú. Bad Rabbit sa šíri prostredníctvom infikovaných webových stránok: používatelia si stiahnu falošný inštalačný program Adobe Flash, manuálne ho spustia, a tým infikujú svoje počítače.

Podľa Kaspersky Lab odborníci tento útok vyšetrujú a hľadajú spôsoby, ako sa s ním vysporiadať, ako aj možnosť dešifrovania súborov zasiahnutých ransomvérom.

Väčšina obetí útoku je v Rusku. Je tiež známe, že k podobným útokom dochádza na Ukrajine, v Turecku a Nemecku, no v oveľa menšom počte. Kryptograf zlý králikšíri cez množstvo infikovaných ruských mediálnych stránok.

Kapersky Lab verí, že všetky znaky poukazujú na to, že ide o cielený útok na podnikové siete. Používajú sa metódy podobné tým, ktoré sme pozorovali pri útoku ExPetr, ale súvislosť s ExPetrom nemôžeme potvrdiť.

Je už známe, že produkty Kaspersky Lab detegujú jeden z komponentov škodlivého softvéru pomocou cloudovej služby Kaspersky Security Network ako UDS:DangerousObject.Multi.Generic, ako aj pomocou nástroja System Watcher ako PDM:Trojan.Win32.Generic.

Ako sa chrániť pred vírusom Bad Rabbit?

Aby ste sa nestali obeťou novej epidémie "Bad Bunny", " Kaspersky Lab» Odporúčame urobiť nasledovné:

Ak máte nainštalovaný Kaspersky Anti-Virus, potom:

• Skontrolujte, či sú vo vašom bezpečnostnom riešení povolené súčasti Kaspersky Security Network a Activity Monitor (známy ako System Watcher). Ak nie, určite ho zapnite.

Pre tých, ktorí tento produkt nemajú:

• Zablokujte spustenie súboru c:\windows\infpub.dat, C:\Windows\cscc.dat. Dá sa to urobiť cez .
• Zakážte (ak je to možné) používanie služby WMI.

Ďalší veľmi dôležitý tip odo mňa:

Vždy robiť zálohovanie (záloha - záloha ) súbory, ktoré sú pre vás dôležité. Na vymeniteľných médiách, v cloudových službách! Ušetrí vám to nervy, peniaze a čas!

Prajem vám, aby ste túto infekciu nechytili na vašom PC. Čistý a bezpečný internet pre vás!

Aktualizácia 27.10.2017. Vyhodnotenie možnosti dešifrovania. Schopnosť obnoviť súbory. Verdikty.

Čo sa stalo?

V utorok 24. októbra sme dostali oznámenia o masívnych útokoch pomocou ransomvéru Bad Rabbit (“Bad Rabbit”). Postihnuté boli organizácie a jednotliví používatelia, väčšinou v Rusku, no objavili sa aj správy o obetiach z Ukrajiny. Obete vidia túto správu:

Čo je zlý králik?

Bad Rabbit patrí do predtým neznámej rodiny ransomvéru.

Ako sa šíri?

Malvér sa šíri pomocou útoku typu drive-by: obeť navštívi legitímnu webovú stránku a . Zločinci nepoužili , takže používateľ musel manuálne spustiť súbor maskovaný ako inštalačný program Adobe Flash, aby ho infikoval. Naša analýza však potvrdzuje, že Bad Rabbit využil exploit EternalRomance na šírenie v rámci podnikových sietí. Rovnaký exploit použil ransomvér ExPetr.

Našli sme množstvo napadnutých zdrojov – všetko sú to spravodajské portály a mediálne stránky.

Kto je cieľom útoku?

Väčšina obetí je v Rusku. Podobné, no menej masívne útoky postihli aj ďalšie krajiny – Ukrajinu, Turecko a Nemecko. Celkový počet gólov podľa štatistík KSN dosahuje 200.

Kedy spoločnosť Kaspersky Lab objavila hrozbu?

Pôvodný vektor útoku sa nám podarilo vystopovať na jeho samom začiatku, ráno 24. októbra. Aktívna fáza pokračovala až do poludnia, hoci jednotlivé útoky boli zaznamenané až do 19.55 h moskovského času. Server, z ktorého bol distribuovaný kvapkadlo Bad králik, bol v ten istý večer odstránený.

Ako sa Bad Rabbit líši od ExPetr ransomware? Alebo je to ten istý malware?

Podľa našich pozorovaní teraz hovoríme o cielenom útoku na podnikové siete, jeho metódy sú podobné tým, ktoré sa používajú počas. Navyše analýza kódu Bad Rabbit ukázala jeho viditeľnú podobnosť s kódom ExPetr.

Technické detaily

Podľa našich informácií sa ransomvér bude šíriť prostredníctvom drive-by útoku. Kvapkadlo ransomvéru sa stiahne z hxxp://1dnscontrol[.]com/flash_install.php.

Obete sú na tento škodlivý zdroj presmerované z legitímnych spravodajských stránok.

Stiahnutý súbor install_flash_player.exe musí obeť spustiť manuálne. Súbor vyžaduje na správne fungovanie administrátorské práva, ktoré si vyžaduje prostredníctvom štandardnej UAC notifikácie. Ak sa spustí, malvér uloží škodlivú knižnicu DLL ako C:Windowsinfpub.dat a spustí ju cez rundll32.

Pseudokód postupu na inštaláciu škodlivého DLL

Knižnica infpub.dat zjavne brutálne vnucuje poverenia NTLM počítačom so systémom Windows s pseudonáhodnými adresami IP.

Pevne zakódovaný zoznam poverení

Knižnica infpub.dat tiež nainštaluje škodlivý spustiteľný súbor dispci.exe v C: Windows a vytvorí úlohu na jej spustenie.

Pseudokód postupu, ktorý vytvára úlohu na spustenie škodlivého spustiteľného súboru

Okrem toho infpub.dat funguje ako typický ransomvér: nájde údaje obete pomocou vstavaného zoznamu rozšírení a zašifruje súbory verejným 2048-bitovým kľúčom RSA, ktorý patrí útočníkom.

Verejný kľúč útočníka a zoznam rozšírení

Parametre verejného kľúča:

Verejný kľúč: (2048 bit)
modul:
00:e5:c9:43:b9:51:6b:e6:c4:31:67:e7:de:42:55:
6f:65:c1:0a:d2:4e:2e:09:21:79:4a:43:a4:17:d0:
37:b5:1e:8e:ff:10:2d:f3:df:cf:56:1a:30:be:ed:
93:7c:14:d1:b2:70:6c:f3:78:5c:14:7f:21:8c:6d:
95:e4:5e:43:c5:71:68:4b:1a:53:a9:5b:11:e2:53:
a6:e4:a0:76:4b:c6:a9:e1:38:a7:1b:f1:8d:fd:25:
4d:04:5c:25:96:94:61:57:fb:d1:58:d9:8a:80:a2:
1d:44:eb:e4:1f:1c:80:2e:e2:72:52:e0:99:94:8a:
1a:27:9b:41:d1:89:00:4c:41:c4:c9:1b:0b:72:7b:
59:62:c7:70:1f:53:fe:36:65:e2:36:0d:8c:1f:99:
59:f5:b1:0e:93:b6:13:31:fc:15:28:da:ad:1d:a5:
f4:2c:93:b2:02:4c:78:35:1d:03:3c:e1:4b:0d:03:
8d:5b:d3:8e:85:94:a4:47:1d:d5:ec:f0:b7:43:6f:
47:1e:1c:a2:29:50:8f:26:c3:96:d6:5d:66:36:dc:
0b:ec:a5:fe:ee:47:cd:7b:40:9e:7c:1c:84:59:f4:
81:b7:5b:5b:92:f8:dd:78:fd:b1:06:73:e3:6f:71:
84:d4:60:3f:a0:67:06:8e:b5:dc:eb:05:7c:58:ab:
1f:61
Exponent: 65537 (0x10001)

style="font-family: Consolas,Monaco,monospace;">

Zdá sa, že spustiteľný súbor dispci.exe je založený na kóde legitímneho nástroja DiskCryptor. Funguje ako modul na šifrovanie disku a paralelne nainštaluje upravený bootloader, ktorý blokuje normálny proces zavádzania infikovaného systému.

Pri analýze vzoriek tejto hrozby sme si všimli zaujímavý detail: autori malvéru sú zrejme fanúšikmi Game of Thrones. Niektoré riadky v kóde sú mená postáv z tohto vesmíru.

Dračie mená z Game of Thrones

Mená postáv z Game of Thrones

Schéma šifrovania

Ako sme už spomenuli, ransomvér Bad Rabbit zašifruje súbory a pevný disk obete. Pre súbory sa používajú nasledujúce algoritmy:

1. AES-128-CBC
2. RSA-2048

Toto je typická schéma používaná ransomvérom.

Je zaujímavé, že ransomvér uvádza zoznam všetkých spustených procesov a porovnáva hash v mene každého procesu so zoznamom hashov, ktoré má. Použitý hashovací algoritmus je zároveň podobný tomu, ktorý používa malvér exPetr.

Porovnanie hašovacích postupov Bad Rabbit a ExPetr

Špeciálna vetva vykonávania programu

Postup inicializácie príznaku behu

Úplný zoznam hashov z názvov procesov:

hash	Názov procesu
0x4A241C3E	dwwatcher.exe
0x923CA517	McTray.exe
0x966D0415	dwarkdaemon.exe
0xAA331620	dwservice.exe
0xC8F10976	mfevtps.exe
0xE2517A14	dwengine.exe
0xE5A05A00	mcshield.exe

Oddiely na pevnom disku obete sú zašifrované pomocou ovládača DiskCryptor dcrypt.sys (načíta sa do C:Windowscscc.dat). Šifrovač odošle potrebné kódy IOCTL tomuto ovládaču. Niektoré funkcie sú prevzaté „tak ako sú“ zo zdrojov DiskCryptor (drv_ioctl.c), iné zrejme pridali vývojári škodlivého softvéru.

Diskové oblasti sú šifrované ovládačom DiskCryptor pomocou AES v režime XTS. Heslo generuje dispci.exe pomocou funkcie WinAPI CryptGenRandom a má 32 znakov.

Vyhodnotenie možnosti dešifrovania

Naše údaje ukazujú, že Bad rabbit, na rozdiel od ExPetra, nebol vytvorený ako zmija (už sme písali, že tvorcovia ExPetra technicky nedokážu dešifrovať MFT zašifrované pomocou GoldenEye). Algoritmus škodlivého softvéru predpokladá, že útočníci stojaci za zlým králikom majú potrebné prostriedky na jeho dešifrovanie.

Údaje zobrazené na obrazovke infikovaného počítača ako „osobný inštalačný kľúč č. 1“ sú binárnou štruktúrou zašifrovanou RSA-2048 a kódovaním base64, ktorá obsahuje nasledujúce informácie z infikovaného systému:

Útočníci môžu použiť svoj súkromný kľúč RSA na dešifrovanie tejto štruktúry a poslať heslo na dešifrovanie disku obeti.

Všimnite si, že hodnota poľa id, ktoré sa odovzdá do dispci.exe, je len 32-bitové číslo používané na rozlíšenie medzi infikovanými počítačmi, a nie kľúč AES na šifrovanie disku, ako sa uvádza v niektorých správach zverejnených na internete.

Počas analýzy sme extrahovali heslo vygenerované ladeným malvérom a po reštarte sme sa ho pokúsili použiť na uzamknutom systéme - heslo sa objavilo a sťahovanie pokračovalo.

Bohužiaľ nie je možné dešifrovať dáta na diskoch bez útočníkovho kľúča RSA-2048: symetrické kľúče sú bezpečne generované na strane malvéru, čo v praxi vylučuje možnosť ich výberu.

Našli sme však chybu v kóde dispci.exe: vygenerované heslo nie je odstránené z pamäte, čo dáva malú šancu na jeho extrahovanie pred ukončením procesu dispci.exe. Na snímke obrazovky nižšie môžete vidieť, že zatiaľ čo premenná dc_pass (ktorá bude odovzdaná ovládaču) bude po použití bezpečne vymazaná, neplatí to pre premennú rand_str, ktorá obsahuje kópiu hesla.

Pseudokód pre procedúru, ktorá generuje heslo a šifruje diskové oblasti

Šifrovanie súborov

Ako sme už spomenuli, trójsky kôň používa typickú schému šifrovania súborov. Generuje náhodný reťazec 32 bajtov a používa ho v algoritme odvodenia kľúča. Bohužiaľ, tento reťazec je generovaný pomocou funkcie CryptGenRandom.

Algoritmus odvodenia kľúča

Zašifrované heslo sa spolu s informáciami o infikovanom systéme zapíše do súboru Readme ako „osobný inštalačný kľúč#2“.

Zaujímavý fakt: malvér nešifruje súbory s atribútom iba na čítanie.

Schopnosť obnoviť súbory

Zistili sme, že Bad Rabbit nevymaže tieňové kópie súborov po ich zašifrovaní. To znamená, že ak bola služba tieňovej kópie povolená pred infekciou a úplné šifrovanie disku z nejakého dôvodu zlyhalo, obeť môže obnoviť zašifrované súbory pomocou štandardných nástrojov systému Windows alebo nástrojov tretích strán.

Tieňové kópie nedotknuté Bad Rabbit

Odborníci spoločnosti Kaspersky Lab podrobne analyzujú ransomvér, aby našli možné chyby v jeho kryptografických algoritmoch.

Firemným klientom spoločnosti Kaspersky Lab sa odporúča:

• skontrolujte, či sú všetky mechanizmy zapnuté podľa odporúčania; skontrolujte, či komponenty KSN a System Monitor nie sú vypnuté (v predvolenom nastavení sú aktívne);
• okamžite aktualizovať antivírusové databázy.

Toto by malo stačiť. Ale ako ďalšie preventívne opatrenie odporúčame:

• zakázať spúšťanie súborov C:Windowsinfpub.dat a C:Windowsccscc.dat v aplikácii Kaspersky Endpoint Security.
• nakonfigurujte a povoľte predvolený režim odmietnutia v súčasti Kontrola spustenia aplikácie Kaspersky Endpoint Security.

Produkty Kaspersky Lab definujú túto hrozbu ako:

• Trojan-Ransom.Win32.Gen.ftl
• Trojan-Ransom.Win32.BadRabbit
• DangerousObject.Multi.Generic
• PDM:Trojan.Win32.Generic
• Intrusion.Win.CVE-2017-0147.sa.únik

MOV:

http://1dnscontrol[.]com/
- install_flash_player.exe
-C:Windowsinfpub.dat
-C:Windowsdispci.exe

style="font-family: Consolas,Monaco,monospace;">

Koniec októbra tohto roku sa niesol v znamení objavenia sa nového vírusu, ktorý aktívne útočil na počítače firemných a domácich používateľov. Nový vírus je ransomvér a nazýva sa Bad Rabbit, čo znamená zlý králik. Pomocou tohto vírusu boli napadnuté stránky viacerých ruských masmédií. Neskôr bol vírus nájdený aj v informačných sieťach ukrajinských podnikov. Boli tam napadnuté informačné siete metra, rôzne ministerstvá, medzinárodné letiská a podobne. O niečo neskôr bol podobný vírusový útok pozorovaný v Nemecku a Turecku, hoci jeho aktivita bola výrazne nižšia ako na Ukrajine a v Rusku.

Škodlivý vírus je špeciálny zásuvný modul, ktorý po vstupe do počítača zašifruje jeho súbory. Po zašifrovaní informácií sa útočníci snažia získať od používateľov odmeny za dešifrovanie ich údajov.

Šírenie vírusu

Odborníci z laboratória pre vývoj antivírusového softvéru ESET analyzovali algoritmus cesty šírenia vírusu a dospeli k záveru, že ide o upravený vírus, ktorý sa nedávno šíril podobne ako vírus Petya.

Laboratórni experti ESET vypočítali, že škodlivé pluginy boli distribuované zo zdroja 1dnscontrol.com a IP adresy IP5.61.37.209. S touto doménou a IP je spojených aj niekoľko ďalších zdrojov, vrátane secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.

Špecialisti zisťovali, že majitelia týchto stránok zaregistrovali veľa rôznych zdrojov, napríklad tých, prostredníctvom ktorých sa pomocou spamovej pošty pokúšajú predávať falošné lieky. Špecialisti spoločnosti ESET nevylučujú, že práve s pomocou týchto prostriedkov, pomocou spamu a phishingu, bol vykonaný hlavný kybernetický útok.

Ako sa vírus Bad Rabbit nakazí?

Špecialisti z počítačového forenzného laboratória skúmali, ako sa vírus dostal na počítače používateľov. Zistilo sa, že vo väčšine prípadov bol ransomvérový vírus Bad Rabbit distribuovaný ako aktualizácia Adobe Flash. To znamená, že vírus nepoužíval žiadne zraniteľnosti operačného systému, ale nainštalovali si ho samotní používatelia, ktorí o tom nevedeli, schválili jeho inštaláciu v domnení, že aktualizujú doplnok Adobe Flash. Keď sa vírus dostane do lokálnej siete, ukradne prihlasovacie údaje a heslá z pamäte a sám sa šíri do iných počítačových systémov.

Ako hackeri vymáhajú peniaze

Po nainštalovaní vírusu ransomware do počítača zašifruje uložené informácie. Ďalej používatelia dostanú správu, že ak chcú získať prístup k svojim údajom, musia uskutočniť platbu na špecifikovanej temnej webovej stránke. Ak to chcete urobiť, musíte najskôr nainštalovať špeciálny prehliadač Tor. Za to, že bude počítač odomknutý, si útočníci vynútili platbu vo výške 0,05 bitcoinu. Dnes, pri cene 5600 dolárov za 1 bitcoin, je to približne 280 dolárov za odomknutie počítača. Na uskutočnenie platby je používateľovi poskytnutý časový úsek rovnajúci sa 48 hodinám. Po uplynutí tejto doby, ak požadovaná suma nebola prevedená na útočníkov elektronický účet, suma sa zvyšuje.

Ako sa chrániť pred vírusom

1. Aby ste sa ochránili pred infekciou vírusom Bad Rabbit, mali by ste zablokovať prístup z informačného prostredia do vyššie uvedených domén.
2. Pre domácich používateľov je potrebné aktualizovať aktuálnu verziu systému Windows a tiež antivírusový program. V tomto prípade bude škodlivý súbor detegovaný ako ransomvérový vírus, čo vylúči možnosť jeho inštalácie do počítača.
3. Tí používatelia, ktorí používajú vstavaný antivírus operačného systému Windows, už majú ochranu pred týmto ransomvérom. Je implementovaný v aplikácii Windows Defender Antivirus.
4. Vývojári antivírusového programu od spoločnosti Kaspersky Lab odporúčajú všetkým používateľom, aby pravidelne zálohovali svoje údaje. Okrem toho odborníci odporúčajú zablokovať spustenie súborov c:\windows\infpub.dat, c:\WINDOWS\cscc.dat a ak je to možné, zakázať používanie služby WMI.

Záver

Každý z používateľov počítačov by si mal pamätať, že kybernetická bezpečnosť by mala byť pri práci v sieti na prvom mieste. Preto by ste mali vždy sledovať používanie len overených informačných zdrojov a starostlivo využívať e-mail a sociálne siete. Prostredníctvom týchto prostriedkov sa najčastejšie uskutočňuje šírenie rôznych vírusov. Základné pravidlá správania sa v informačnom prostredí odstránia problémy, ktoré vznikajú pri napadnutí vírusom.

Podľa Kaspersky Lab môže ísť o predzvesť tretej vlny ransomvérových vírusov. Prvé dve boli senzačné WannaCry a Petya (alias NotPetya). Odborníci na kybernetickú bezpečnosť hovorili pre MIR 24 o vzniku nového sieťového malvéru a o tom, ako sa brániť proti jeho silnému útoku.

Väčšina obetí útoku Bad Rabbit je v Rusku. Na území Ukrajiny, Turecka a Nemecka je ich oveľa menej, uviedol vedúci oddelenia antivírusového výskumu Kaspersky Lab. Vjačeslav Zakorževskij. Krajiny, v ktorých používatelia aktívne sledujú ruské internetové zdroje, sa pravdepodobne ukázali ako druhé najaktívnejšie.

Keď malvér infikuje počítač, zašifruje v ňom súbory. Šíri sa prostredníctvom webovej prevádzky z napadnutých internetových zdrojov, medzi ktoré patria najmä webové stránky federálnych ruských médií, ako aj počítače a servery kyjevského metra, ukrajinského ministerstva infraštruktúry a medzinárodného letiska v Odese. Zaznamenaný bol aj neúspešný pokus o útok na ruské banky z prvej dvadsiatky.

O tom, že Fontanka, Interfax a množstvo ďalších publikácií zaútočil Bad Rabbit, včera informovala spoločnosť Group-IB, ktorá sa špecializuje na informačnú bezpečnosť. Ukázala to analýza vírusového kódu Bad Rabbit je spájaný s ransomvérom Not Petya, ktorý v júni tento rok zaútočil na energetické, telekomunikačné a finančné spoločnosti na Ukrajine.

Útok sa pripravoval niekoľko dní a napriek rozsahu infekcie si ransomvér vyžiadal od obetí útoku relatívne malé sumy – 0,05 bitcoinu (asi 283 dolárov alebo 15 700 rubľov). Na uplatnenie máte 48 hodín. Po uplynutí tejto lehoty sa suma zvyšuje.

Špecialisti Group-IB sa domnievajú, že hackeri s najväčšou pravdepodobnosťou nemajú v úmysle zarobiť peniaze. Ich pravdepodobným cieľom je otestovať úroveň ochrany sietí kritickej infraštruktúry podnikov, vládnych rezortov a súkromných spoločností.

Je ľahké byť napadnutý

Keď používateľ navštívi infikovanú stránku, škodlivý kód odošle informácie o používateľovi na vzdialený server. Ďalej sa zobrazí kontextové okno so žiadosťou o stiahnutie aktualizácie pre prehrávač Flash Player, ktorá je falošná. Ak používateľ schválil operáciu „Inštalovať“, do počítača sa stiahne súbor, ktorý následne spustí v systéme kodér Win32/Filecoder.D. Ďalej bude zablokovaný prístup k dokumentom, na obrazovke sa zobrazí správa o výkupnom.

Vírus Bad Rabbit vyhľadá v sieti otvorené sieťové zdroje, potom na infikovanom počítači spustí nástroj na zhromažďovanie poverení a toto „správanie“ sa líši od svojich predchodcov.

Špecialisti medzinárodného vývojára antivírusového softvéru Eset NOD 32 potvrdili, že Bad Rabbit je nová modifikácia vírusu Petya, ktorej princíp bol rovnaký - vírus zašifroval informácie a požadoval výkupné v bitcoinoch (suma bola porovnateľná s Zlý králik - 300 dolárov). Nový malvér opravuje chyby v šifrovaní súborov. Kód použitý vo víruse je určený na šifrovanie logických jednotiek, externých jednotiek USB a obrazov CD/DVD, ako aj oddielov zavádzacích diskov.

Keď hovoríme o publiku, ktoré bolo napadnuté Bad Rabbit, vedúcim podpory predaja ESET Rusko Vitalij Zemský uviedol, že 65 % útokov zastavených antivírusovými produktmi spoločnosti padá na Rusko. Zvyšok geografie nového vírusu vyzerá takto:

Ukrajina – 12,2 %

Bulharsko – 10,2 %

Turecko – 6,4 %

Japonsko – 3,8 %

ostatné - 2,4 %

„Ransomvér používa známy softvér s otvoreným zdrojovým kódom s názvom DiskCryptor na šifrovanie diskov obete. Obrazovka uzamykacej správy, ktorú používateľ vidí, je takmer identická so uzamykacími obrazovkami Petya a NotPetya. Toto je však jediná podobnosť, ktorú sme zatiaľ medzi týmito dvoma malvérmi videli. Vo všetkých ostatných aspektoch je BadRabbit úplne novým a jedinečným typom ransomvéru,“ hovorí CTO spoločnosti Check Point Software Technologies. Nikita Durov.

Ako sa chrániť pred zlým králikom?

Majitelia iných operačných systémov ako Windows si môžu vydýchnuť, keďže nový ransomvérový vírus robí zraniteľné iba počítače s touto „osou“.

Na ochranu pred sieťovým malvérom odborníci odporúčajú vytvoriť súbor C:\windows\infpub.dat na vašom počítači a zároveň nastaviť jeho práva len na čítanie – to je jednoduché v sekcii správy. Týmto spôsobom zablokujete spustenie súboru a všetky dokumenty prichádzajúce zvonka nebudú zašifrované, aj keď sa ukáže, že sú infikované. Aby ste v prípade napadnutia vírusom neprišli o cenné dáta, urobte si teraz zálohu (záložnú kópiu). A, samozrejme, stojí za to pripomenúť, že zaplatenie výkupného je pasca, ktorá vám nezaručí odomknutie počítača.

Pripomeňme, že vírus sa v máji tohto roku rozšíril do najmenej 150 krajín sveta. Informácie zašifroval a požadoval zaplatiť výkupné, podľa rôznych zdrojov od 300 do 600 dolárov. Trpelo ňou viac ako 200 tisíc používateľov. Podľa jednej verzie si jeho tvorcovia vzali za základ malvér americkej NSA Eternal Blue.

Alla Smirnova hovorila s odborníkmi