Как работает вирус-шифровальщик Bad Rabbit. Вирус Bad Rabbit — что за вирус и как защититься

Вирус‐вымогатель Bad Rabbit добрался до крупнейших российских банков, а также протестировал на прочность защитную систему Центробанка России. По данным компании, занимающейся расследованиями киберпреступлений, вирус пытался взломать систему банков из топ‐20. О том, как финансовые организации справлялись с нападками «плохого кролика» - в материале «360».

Следующая новость

Центробанк России зафиксировал хакерскую атаку вируса Bad Rabbit на ряд российских банков, сообщается в пресс-релизе регулятора. При этом данные финансовых организаций от действий шифровальщика не пострадали, отмечают в ЦБ.

Отличительной особенностью данного вредоносного программного обеспечения является способность собирать пароли пользователей зараженных компьютеров, а также загрузка дополнительных вредоносных модулей с использованием полученных данных. Злоумышленники присылают на e-mail письмо с вложенным вирусом, путем обмана или злоупотребления доверием они побуждают пользователя открыть вредоносный файл, после чего вредоносное программное обеспечение активируется
— сообщение Центробанка.

Монетарный регулятор предупреждает, что кибератаки могут возобновиться. Сотрудники Центробанка уже разослали банкам рекомендации о том, как можно обнаружить вредоносное программное обеспечение, и рассказали методах противодействия ему. Кроме того, ведомство планирует проанализировать совершенные на территории России кибератаки Bad Rabbit и разработать механизмы для защиты от вируса-вымогателя.

Банки под прицелом

Накануне вирус-шифровальщик Bad Rabbit пытался атаковать российские банки из первой двадцатки. Впрочем, атаки не увенчались успехом, рассказал Илья Сачков, гендиректор компании Group-IB , занимающейся расследованиями киберпреступлений. Аналитики Group-IB зафиксировали попытки заражения вирусом компьютерного обеспечения ряда российских банков, которые используют систему обнаружения вторжений, разработанную компанией.

«Эти файлы приходили туда во вторник с 13:00 до 15:00 по московскому времени. То есть на банки этот вирус тоже пытались распространить», — приводит слова Сачкова РИА «Новости». Какие именно банковские организации подверглись атакам «плохого кролика» представители компании предпочли умолчать.

В пресс-службе Россельхозбанка редакции «360» рассказали, что в банке не зафиксировали попыток осуществления кибератак на свои информационные ресурсы. Также представитель финансовой организации отметил, что в банке «осуществляется контроль и мониторинг информационной безопасности информационных активов, а также уделяется особое внимание появлению подозрительной вирусной и сетевой активности».

Представитель «Райффайзенбанка» отметил, что все сервисы банка работают в обычном режиме. «Мы знаем об угрозе, все необходимые меры были приняты. „Райффайзенбанк“ традиционно уделяет пристальное внимание вопросам кибербезопасности как с точки зрения внутренней инфраструктуры, так и сервисов, предоставляемых клиентам», — рассказала «360» пресс-секретарь банка Александра Сысоева.

Банковской системе удалось отразить удар Bad Rabbit, поскольку хакерские атаки на финансовые организации производятся в ежедневном режиме, рассказал «360» заместитель руководителя лаборатории по компьютерной криминалистике Group-IB Сергей Никитин.

Банки сталкиваются с кибератаками каждый день, поэтому все письма и сторонние файлы там проверяют через «песочницу» (специально выделенная среда для безопасного исполнения компьютерных программ — «360»). Однако если бы банкам не удалось отразить атаку, то это привело бы к потере данных, которые зачастую невозможно расшифровать даже после того, как мошенникам выплачивают деньги
— Сергей Никитин.

Эксперт отметил, что данный тип вируса не направлен на хищение средств у банка, так как специализируется только на шифровании информации о пользователях.

Последователь Not Pе tya

РИА «Новости» / Владимир Трефилов

Новый шифровальщик — это модифицированная версия вируса NotPetya, который поразил IT-системы организаций в нескольких странах в июне. На связь BadRabbit с NotPetya указывают совпадения в коде. Это говорит о том, что у них может быть один и тот же создатель, рассказал «360» руководитель аналитического центра Zecurion Владимир Ульянов.

Эти вирусы относятся к одному классу. При этом шифровальщик NotPetya был более масштабен, поскольку он использовал уязвимости в операционной системе W indows, а «плохой кролик» предлагает скачать вирус под видом плеера. Я думаю, Bad Rabbit вряд ли получит сильное распространение в России, поскольку защита от него уже разработана во всех антивирусных компаниях, приложениями которых пользуются банки и другие организации
— Владимир Ульянов.

В атаке используется программа Mimikatz, которая перехватывает на зараженной машине логины и пароли. Также в коде имеются уже прописанные логины и пароли для попыток получения административного доступа. За расшифровку файлов злоумышленники требуют 0,05 биткойна, что по современному курсу примерно эквивалентно 283 долларам или 15,7 тысячи рублей.

Вирус-шифровальщик BadRabbit предпринял почти двести попыток кибератак по всему миру, говорится в отчете «Лаборатории Касперского». «Большинство жертв находится в России. Меньшее количество атак наблюдалось и в других странах — Украине, Турции и Германии», — отметили в компании.

Чтобы не стать жертвой «плохого кролика», необходимо запретить исполнение файлов C:\windows\infpub.dat, C:\Windows\cscc.dat и поставить им права «только для чтения», посоветовали пользователям в «Лаборатории Касперского». Кроме того, рекомендуется оперативно изолировать компьютеры, указанные в тикетах (события в системе обнаружения вторжений), а также проверить актуальность и целостность резервных копий ключевых сетевых узлов.

Следующая новость

Новый вирус-шифровальщик Bad Rabbit ("Плохой кролик") во вторник атаковал сайты ряда российских СМИ. В частности, атакам подверглись информационные системы агентства "Интерфакс", а также сервер петербургского новостного портала "Фонтанка". После полудня Bad Rabbit начал распространяться на Украине - вирус поразил компьютерные сети Киевского метрополитена, министерства инфраструктуры, международного аэропорта Одессы. Похожие атаки наблюдаются в Турции и Германии, хотя и в значительно меньшем количестве. ТАСС объясняет, что это за вирус, как от него уберечься и кто может за ним стоять.

Bad Rabbit - это вирус-шифровальщик

Вредоносная программа заражает компьютер, шифруя на нем файлы. Для получения доступа к ним вирус предлагает совершить платеж на указанном сайте в даркнете (для этого потребуется браузер Tor). За разблокировку каждого компьютера хакеры требуют заплатить 0,05 биткойна, то есть примерно 16 тыс. рублей или $280. На выкуп отводится 48 часов — после истечения этого срока сумма увеличивается.

По лаборатории компьютерной криминалистики компании Group-IB, вирус-шифровальщик пытался атаковать не только российские СМИ, но и российские банки из топ-20, однако ему это не удалось.

По вирусной лаборатории ESET, в атаке использовалось вредоносное программное обеспечение Diskcoder.D — новая модификация шифратора, известного как Petya. Предыдущая версия Diskcoder была задействована в в июне 2017 года. В Group-IB , что вирус Bad Rabbit мог написать автор NotPetya (это обновленная версия "Пети" 2016 года) или его последователь.

"Раздача вредоносного ПО проводилась с ресурса 1dnscontrol.com. Он имеет IP 5.61.37.209, с этим доменным именем и IP-адресом связаны следующие ресурсы: webcheck01.net, webdefense1.net, secure-check.host, firewebmail.com, secureinbox.email, secure-dns1.net", — ТАСС в Group-IB. В компании отметили, что на владельцев этих сайтов зарегистрировано множество ресурсов, например, так называемые фарм-партнерки — сайты, которые через спам продают контрафактные медикаменты. "Не исключено, что они использовались для рассылки спама, фишинга", — добавили в компании.

Bad Rabbit распространялся под видом обновления плагина Adobe Flash

Пользователи самостоятельно одобряли установку этого обновления и таким образом заражали свой компьютер. "Никаких уязвимостей вообще не было, пользователи сами запускали файл", — замглавы лаборатории компьютерной криминалистики Group-IB Сергей Никитин. Попав в локальную сеть, Bad Rabbit крадет из памяти логины и пароли и может самостоятельно устанавливаться на другие компьютеры.

Вируса достаточно легко избежать

Чтобы защититься от заражения Bad Rabbit, компаниям достаточно заблокировать указанные домены для пользователей корпоративной сети. Домашним пользователям следует обновить Windows и антивирусный продукт — тогда этот файл будет детектироваться как вредоносный.

Пользователи встроенного антивируса операционной системы Windows — Windows Defender Antivirus — уже от Bad Rabbit. "Мы продолжаем расследование, и при необходимости мы примем дополнительные меры по защите наших пользователей", — ТАСС пресс-секретарь корпорации Microsoft в России Кристина Давыдова.

"Лаборатория Касперского" также подготовила для того, чтобы не стать жертвами новой эпидемии. Производитель антивирусов посоветовал всем сделать бэкап (резервное копирование). Кроме того, компания рекомендовала заблокировать исполнение файла c:\windows\infpub.dat, C:\Windows\cscc.dat, а также, если возможно, запретить использование сервиса WMI.

Минкомсвязи считает, что атака на российские СМИ не была целенаправленной

"При всем уважении к большим СМИ, это не критический объект инфраструктуры", — глава Минкомсвязи Николай Никифоров, добавив, что какую-то определенную цель хакеры вряд ли преследовали. По его мнению, такие атаки, в частности, связаны с нарушением мер безопасности при подключении к "открытому интернету". "Скорее всего, эта информационная система ("Интерфакса" — прим. ТАСС) не сертифицирована", — предположил министр.

Основная волна распространения вируса уже завершилась

"Сейчас можно говорить о прекращении активного распространения вируса, третья эпидемия практически завершилась. Даже домен, через который распространялся Bad Rabbit, уже не отвечает", — в Group-IB. По словам Сергея Никитина, возможны единичные случаи заражения вирусом, в частности в корпоративных сетях, где уже были украдены логины и пароли, и вирус может установиться сам, без участия пользователя. Однако уже можно говорить о завершении основной волны третьей эпидемии вируса-шифровальщика в 2017 году.

Напомним, что в мае компьютеры по всему миру атаковал вирус . На зараженных компьютерах блокировалась информация, а за разблокировку данных злоумышленники требовали $600 в биткойнах. В июне другой вирус под названием Petya атаковал нефтяные, телекоммуникационные и финансовые компании России, Украины и некоторые страны ЕС. Принцип его действия был таким же: вирус шифровал информацию и требовал выкуп в размере $300 в биткойнах.

Вирус-шифровальщик Bad Rabbit или Diskcoder.D. aтaкуeт кopпopaтивныe ceти бoльшиx и cpeдниx opгaнизaций, блoкиpуя вce ceти.

Bad Rabbit или "плохой кролик" трудно назвать первопроходцем - ему предшествовали вирусы-шифровальщики Petya и WannaCry.

Bad Rabbit — что за вирус

Схему распространения нового вируса исследовали эксперты антивирусной компании ESET и выяснили, что Bad Rabbit проникал на компьютеры жертв под видом обновления Adobe Flash для браузера.

В антивирусной компании считают, что шифратор Win32/Diskcoder.D, получивший название Bad Rabbit - модифицированная версия Win32/Diskcoder.C, более известного как Petya/NotPetya, который поразил IT-системы организаций в нескольких странах в июне. На связь Bad Rabbit с NotPetya указывают совпадения в коде.

В новой вредоносной программе исправлены ошибки в шифровании файлов — код, использованный в вирусе, предназначен для шифрования логических дисков, внешних USB-накопителей и образов CD/DVD, а также загрузочных системных разделов диска. Так, что экспертам по дешифровке придется потратить много времени, чтобы раскрыть секрет вируса Bad Rabbit, утверждают специалисты.

Новый вирус, как утверждают специалисты, действует пo cтaндapтнoй для шифpoвaльщикoв cxeмe — пoпaдaя в cиcтeму неизвестно откуда, oн кoдиpуeт фaйлы, зa pacшифpoвку кoтopыx xaкepы тpeбуют выкуп в биткоинах.

Разблокировка одного компьютера обойдется в 0,05 биткоина, что составляет порядка 283 долларов по текущему курсу. В случае выплаты выкупа мошенники вышлют специальный код-ключ, который позволит восстановить нормальную работу системы и не потерять все.

Если пользователь не переведет средства в течение 48 часов, размер выкупа вырастет.

Но, стоит помнить, что выплата выкупа - может быть ловушкой, которая не гарантирует разблокировку компьютера.

В ESET отмечают, что в настоящее время связь вредоносной программы с удаленным сервером отсутствует.

Вирус больше всего поразил российских пользователей, в меньшей степени — компании в Германии, Турции и на Украине. Распространение происходило через зараженные СМИ. Известные зараженные сайты уже заблокированы.

В ESET считают, что статистика атак в значительной степени соответствует географическому распределению сайтов, содержащих вредоносный JavaScript.

Как защититься

Специалисты компании Group-IB, которая занимается предотвращением и расследованием киберпреступностей, дали рекомендации, как защититься от вируса Bad Rabbit.

В частности, для защиты от сетевого вредителя нужно создать на своем компьютере файл C:\windows\infpub.dat, при этом в разделе администрирования установить для него права "только для чтения".

Этим действием исполнение файла будет заблокировано, и все поступающие извне документы не будут зашифрованы даже в том случае, если окажутся зараженными. Нужно создать резервную копию всех ценных данных, чтобы в случае заражения не потерять их.

Специалисты Group-IB также советуют заблокировать ip-адреса и доменные имена, с которых происходило распространение вредоносных файлов, поставить пользователям блокировку всплывающих окон.

Рекомендуется также оперативно изолировать компьютеры в системе обнаружения вторжений. Пользователям ПК следует также проверить актуальность и целостность резервных копий ключевых сетевых узлов и обновить операционные системы и системы безопасности.

"В части парольной политики: настройками групповой политики запретите хранение паролей в LSA Dump в открытом виде. Смените все пароли на сложные", — добавили в компании.

Предшественники

Вирус WannaCry в мае 2017 года распространился не менее чем в 150 странах мира. Он шифровал информацию и требовал заплатить выкуп, по разным данным, от 300 до 600 долларов.

От него пострадали свыше 200 тысяч пользователей. По одной из версий, его создатели взяли за основу вредоносную программу АНБ США Eternal Blue.

Глобальная атака вируса-вымогателя Petya 27 июня поразила IT-системы компаний в нескольких странах мира, в большей степени затронув Украину.

Атаке подверглись компьютеры нефтяных, энергетических, телекоммуникационных, фармацевтических компаний, а также госорганов. Киберполиция Украины заявила, что атака вируса-вымогателя произошла посредством программы "M.E.doc".

Материал подготовлен на основе открытых источников

24 октября многих пользователей в Украине и России «навестил пасхальный кролик». Только он принес не подарки и радость, а огромное количество проблем. Да и назвали его соответственно - Bad Rabbit (или как пишут некоторые специалисты - BadRabbit). Именно под таким названием начал распространяться очередной вирус-шифровальщик.

Кто пострадал?

Первые сведения об атаке появились 24 октября сутра. Пострадали многие госкомпании в Украине (Киевский метрополитен, Одесский аэропорт) и России, а также некоторые СМИ. Также атакам подверглись и финучреждения, но злоумышленникам не удалось нанести им вред. В свою очередь, представители компании ESET сообщили, что проблемы возникли не только в России и Украине, но также в Турции, Японии и Болгарии.

После блокировки ПК малварь сообщала пользователю, что за разблокировку данных он должен перевести 0,05 биткоина (эквивалентно 280 USD) на счет злоумышленников.

Как распространяется?

Точных данных о способе распространения зловреда не было ничего известно. В компании Group-IB отметили, что атака готовилась несколько дней (хотя по мнению представителя «Лаборатории Касперского» Костина Райю подготовка заняла намного больше времени).

Однако, уже сегодня известно, что зловред распространялся под видом обычных обновлений Adobe Flash, не задействуя брешь в SMB, которой ранее пользовались шифровальщики WannaCry и NotPetya. Но и тут мнения специалистов расходятся.

В Group-IB считают , что Bad Rabbit - модификация NotPetya, в которой хакерам удалось исправить ошибки в алгоритме шифрования. В то же время представители Intezer отмечают, что вредоносный код идентичен только на 13%.

В ESET и «Лаборатории Касперского» заняли достаточно интересную позицию: в компаниях не исключают, что «злой кролик» может быть последователем NotPetya, но прямых заявлений по этому поводу не делают.

Как защитить компьютер?

На данный момент распространение шифровальщика уже прекращено, но специалисты отмечают, что стоит позаботиться о защите своих ПК от заражения. Для этого создайте файлы:

C:\Windows\infpub.dat и C:\Windows\cscc.dat;
снимите с них все разрешения на выполнение (заблокируйте).

I can confirm — Vaccination for

Вконтакте

Одноклассники

Буквально на днях на территории России и Украины, Турции, Германии, а также Болгарии началась масштабная хакерская атака новым вирусом-шифровальщиком Bad Rabbit, он же Diskcoder.D. Вирус в настоящий момент атакует корпоративные сети больших и средних организаций, блокируя все сети. Сегодня мы расскажем что из себя представляет этот троян и как можно обезопасить себя от него.

Вирус Bad Rabbit (Плохой Кролик) работает по стандартной для шифровальщиков схеме: попадая в систему, он кодирует файлы, за расшифровку которых хакеры требуют 0,05 биткоина, что по курсу составляет 283$ (или 15 700 руб). Об этом сообщается отдельным окном, куда собственно и нужно вводить приобретенный ключ. Угроза относится к типу троянов Trojan.Win32.Generic, но в нем есть и другие компоненты, такие как DangerousObject.Multi.Generic и Ransom.Win32.Gen.ftl.

Полностью отследить все источники заражения пока трудно, однако эксперты этим сейчас занимаются.

Предположительно угроза попадает на ПК через зараженные сайты, настроенных на перенаправление, или под видом фейковых обновлений для популярных плагинов типа Adobe Flash. Перечень таких сайтов пока только увеличивается.

Сразу нужно отметить, что в данный момент все антивирусные лаборатории принялись за анализ этого трояна. Если конкретно искать информацию по удалению вируса, то её, как таковой, не существует. Отбросим сразу стандартные советы, типа сделайте бекап системы, точку возврата, удалите определенные файлы. Если у вас нет сохранений, то все остальное не работает, хакеры эти моменты, в силу спецификации вируса, просчитали.

Есть вероятность, что вскоре будут распространятся сделанные аматорами дешифраторы для Bad Rabbit - вестись на эти программки или нет - ваше личное дело. Как продемонстрировал прошлый шифровальщик Petya, это мало кому помогает.

А вот предупредить угрозу и удалить её во время попытки залезть в ПК реально. Первыми на новость о вирусной эпидемии отреагировали лаборатории Kaspersky и ESET, которые уже в настоящий момент блокируют попытки проникновения.

Браузер Google Chrome в том числе стал выявлять зараженные ресурсы и предупреждать об их опасности. Вот что необходимо сделать для защиты от BadRabbit прежде всего:

1. Если вы используете для защиты Касперский, ESET, Dr.Web, или другие известные аналоги, то вам нужно обязательно выполнить обновление баз данных. Для Касперского, в том числе нужно включить «Мониторинг активности» (System Watcher), а в ESET примените сигнатуры с обновлением 16295.

2. Если вы не пользуетесь антивирусами, тогда нужно заблокировать исполнение файлов C:\Windows\infpub.dat и C:\Windows\cscc.dat. Делается это с помощью редактора групповых политик, или программки AppLocker для Windows.

3. По возможности стоит запретить выполнение службы - Windows Management Instrumentation (WMI). В 10-й версии служба называется «Инструментарий управления Windows». С помощью правой кнопки войдите в свойства службы и выберите в «Тип запуска» режим «Отключена».

Обязательно необходимо сделать резервную копию вашей системы. В идеале, копия должна всегда храниться на подключаемом носителе.

В завершении нужно отметить самое основное - не стоит платить выкуп, что бы у вас ни было зашифровано. Такого рода действия только подстрекают мошенников создавать новые вирусные атаки. Отслеживайте форумы антивирусных компаний, которые, я надеюсь, вскоре изучат вирус Bad Rabbit и найдут нужное решение. В обязательном порядке выполните вышеописанные пункты по защите вашей ОС. В случае возникновения трудностей при их выполнении, отпишитесь в комментариях.