Šta je virus Bad Rabbit i kako zaštititi svoj računar. Bad Rabbit: još jedan ransomware virus

Virus ransomware, poznat kao Bad Rabbit, napao je desetine hiljada računara u Ukrajini, Turskoj i Njemačkoj. Ali većina napada se dogodila u Rusiji. O kakvom je virusu riječ i kako zaštititi svoj računar, govorimo vam u našoj rubrici Pitanja i odgovori.

Ko je patio od lošeg zeca u Rusiji?

Bad Rabbit ransomware virus počeo se širiti 24. oktobra. Među žrtvama njegovih akcija su novinska agencija Interfax i publikacija Fontanka.ru.

Kijevski metro i aerodrom u Odesi takođe su stradali od akcija hakera. Tada se saznalo za pokušaj hakovanja sistema nekoliko ruskih banaka iz prvih 20.

Po svemu sudeći, radi se o ciljanom napadu na korporativne mreže, jer koristi metode slične onima uočenim u napadu virusa ExPetr.

Novi virus svima postavlja jedan zahtjev: otkupninu od 0,05 bitkoina. U rubljama, to je oko 16 hiljada rubalja. Međutim, izvještava da je vrijeme za ispunjavanje ovog zahtjeva ograničeno. Za sve je dato nešto više od 40 sati. Nadalje, naknada za otkup će se povećati.

Šta je ovaj virus i kako funkcioniše?

Jeste li već otkrili ko stoji iza njegovog širenja?

Još nije moguće saznati ko stoji iza ovog napada. Istraga je samo dovela programere do imena domena.

Stručnjaci iz antivirusnih kompanija primjećuju sličnost novog virusa sa virusom Petya.

Ali, za razliku od prethodnih virusa ove godine, ovog puta su hakeri odlučili krenuti jednostavnim putem, prenosi 1tv.ru.

"Očigledno su kriminalci očekivali da će u većini kompanija korisnici ažurirati svoje računare nakon ova dva napada, pa su odlučili da isprobaju prilično jeftino sredstvo - društveni inženjering - kako bi u početku relativno tiho zarazili korisnike", rekao je šef anti- odjel za istraživanje virusa u laboratoriji Kaspersky Vyacheslav Zakorzhevsky.

Kako zaštititi svoj računar od virusa?

Obavezno napravite sigurnosnu kopiju vašeg sistema. Ako za zaštitu koristite Kaspersky, ESET, Dr.Web ili druge popularne analoge, trebali biste odmah ažurirati baze podataka. Takođe, za Kaspersky morate da omogućite „Nadgledanje aktivnosti“ (System Watcher), a u ESET-u morate da primenite potpise sa ažuriranjem 16295, obaveštava talkdevice.

Ako nemate antivirusne programe, blokirajte izvršavanje datoteka C:\Windows\infpub.dat i C:\Windows\cscc.dat. Ovo se radi preko urednika grupne politike ili AppLocker za Windows.

Zaustavite rad usluge - Windows Management Instrumentation (WMI). Koristeći desno dugme, uđite u svojstva usluge i izaberite režim „Onemogućeno“ u „Tip pokretanja“.

Treći veliki sajber napad za godinu dana. Ovaj put virus ima novo ime, Bad Rabbit, i stare navike: šifriranje podataka i iznuđivanje novca za otključavanje. A Rusija, Ukrajina i neke druge zemlje ZND su i dalje u pogođenom području.

Bad Rabbit slijedi uobičajeni obrazac: šalje phishing email s priloženim virusom ili vezom. Konkretno, napadači se mogu predstavljati kao Microsoft tehnička podrška i tražiti od vas da hitno otvorite priloženu datoteku ili slijedite vezu. Postoji još jedan put distribucije - lažni prozor za ažuriranje Adobe Flash Playera. U oba slučaja, Bad Rabbit djeluje na isti način kao i senzacionalni ne tako davno; šifrira podatke žrtve i traži otkupninu od 0,05 bitkoina, što je otprilike 280 dolara po kursu od 25.10.2017. Žrtve nove epidemije bili su Interfaks, peterburška publikacija Fontanka, Kijevska mitropolija, aerodrom u Odesi i Ministarstvo kulture Ukrajine. Postoje dokazi da je novi virus pokušao da napadne nekoliko poznatih ruskih banaka, ali ta ideja nije uspjela. Stručnjaci povezuju Bad Rabbita s prethodnim velikim napadima zabilježenim ove godine. Dokaz za to je sličan softver za šifriranje Diskcoder.D, a ovo je isti Petya enkriptor, samo malo izmijenjen.

Kako se zaštititi od lošeg zeca?

Stručnjaci preporučuju vlasnicima Windows računari kreirajte fajl "infpub.dat" i stavite ga u njega Windows folder na pogonu "C". Kao rezultat, putanja bi trebala izgledati ovako: C:\windows\infpub.dat. Ovo se može uraditi pomoću obične notepad-a, ali sa administratorskim pravima. Da biste to učinili, pronađite vezu do programa Notepad, kliknite desni klik miša i odaberite “Pokreni kao administrator”.

Zatim samo treba da sačuvate ovu datoteku na adresi C:\windows\, odnosno u Windows folder na disku „C“. Naziv fajla: infpub.dat, pri čemu je “dat” ekstenzija datoteke. Ne zaboravite zamijeniti standardnu ​​ekstenziju notepada "txt" sa "dat". Nakon što sačuvate datoteku, otvorite Windows folder, pronađite kreiranu datoteku infpub.dat, kliknite desnim tasterom miša na nju i izaberite „Svojstva“, pri čemu na samom dnu treba da označite polje za potvrdu „Samo za čitanje“. Na ovaj način, čak i ako uhvatite Bad Bunny virus, on neće moći šifrirati vaše podatke.

Preventivne mjere

Ne zaboravite da se od bilo kojeg virusa možete zaštititi jednostavnim pridržavanjem određenih pravila. Možda zvuči trivijalno, ali nikada ne otvarajte mejlove, a još manje njihove priloge, ako vam se adresa čini sumnjivom. Phishing emailovi, odnosno maskiranje u druge usluge, najčešći su način zaraze. Pazite šta otvarate. Ako se u e-poruci priložena datoteka zove “Important document.docx_______.exe”, onda definitivno ne biste trebali otvarati ovu datoteku. Osim toga, morate imati rezervne kopije važnih datoteka. Na primjer, može se duplirati porodična arhiva sa fotografijama ili radnim dokumentima eksterni disk ili u pohranu u oblaku. Ne zaboravite koliko je važno koristiti licenciranu verziju Windows-a i redovno instalirati ažuriranja. Sigurnosne zakrpe Microsoft objavljuje redovno i oni koji ih instaliraju nemaju problema sa takvim virusima.

Kraj oktobra ove godine obilježila je pojava novog virusa koji je aktivno napadao računare korporativnih i kućnih korisnika. Novi virus je enkriptor i zove se Bad Rabbit, što znači loš zec. Ovaj virus je korišten za napad na web stranice nekoliko ruskih medija. Kasnije je virus otkriven u informacionim mrežama ukrajinskih preduzeća. Tamo su napadnute informacione mreže metroa, raznih ministarstava, međunarodnih aerodroma itd. Nešto kasnije, sličan napad virusa primijećen je u Njemačkoj i Turskoj, iako je njegova aktivnost bila znatno niža nego u Ukrajini i Rusiji.

Zlonamjerni virus je poseban dodatak koji, kada dođe do računara, šifrira njegove datoteke. Nakon što su informacije šifrirane, napadači pokušavaju dobiti nagrade od korisnika za dešifriranje njihovih podataka.

Širenje virusa

Stručnjaci iz laboratorije za antivirusni program ESET analizirali su algoritam putanje širenja virusa i došli do zaključka da se radi o modificiranom virusu koji se širio ne tako davno, poput virusa Petya.

ESET laboratorijski stručnjaci utvrdili su da su zlonamjerni dodaci distribuirani sa resursa 1dnscontrol.com i IP adrese IP5.61.37.209. Nekoliko drugih resursa je također povezano sa ovom domenom i IP-om, uključujući secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.

Stručnjaci su istražili da su vlasnici ovih stranica registrovali mnoge različite resurse, na primjer, one preko kojih pokušavaju prodati krivotvorene lijekove koristeći neželjenu poštu. Stručnjaci ESET-a ne isključuju da je upravo uz pomoć ovih resursa, uz korištenje neželjene pošte i krađe identiteta, izvršen glavni sajber napad.

Kako nastaje infekcija virusom Bad Rabbit?

Stručnjaci iz Laboratorije za kompjutersku forenziku sproveli su istragu o tome kako je virus dospio na računare korisnika. Otkriveno je da se u većini slučajeva virus Bad Rabbit ransomware distribuirao kao ažuriranje za Adobe Flash. Odnosno, virus nije iskoristio nijednu ranjivost operativnog sistema, već su ga instalirali sami korisnici, koji su, nesvjesno, odobrili njegovu instalaciju, misleći da ažuriraju Adobe Flash dodatak. Kada je virus ušao lokalna mreža, ukrao je login i lozinke iz memorije i samostalno proširio na druge računarske sisteme.

Kako hakeri iznuđuju novac

Nakon što je ransomware virus instaliran na računar, on šifrira pohranjene informacije. Zatim, korisnici dobijaju poruku u kojoj se navodi da kako bi dobili pristup svojim podacima, moraju izvršiti uplatu na određenom mjestu na darknetu. Da biste to učinili, prvo morate instalirati poseban Tor pretraživač. Kako bi otključali računar, napadači iznuđuju uplatu u iznosu od 0,05 bitkoina. Danas, po ceni od 5.600 dolara po Bitcoinu, to je otprilike 280 dolara za otključavanje računara. Korisniku se daje vremenski period od 48 sati za plaćanje. Nakon ovog perioda, ako traženi iznos nije prebačen na elektronski račun napadača, iznos se povećava.

Kako se zaštititi od virusa

1. Da biste se zaštitili od zaraze virusom Bad Rabbit, trebali biste blokirati pristup iz informacionog okruženja gore navedenim domenama.
2. Za kućne korisnike, morate ažurirati trenutni Windows verzije i antivirusni program. U tom slučaju, zlonamjerna datoteka će biti otkrivena kao ransomware virus, što će isključiti mogućnost njegove instalacije na računar.
3. Oni korisnici koji koriste ugrađeni antivirusni operativni sistem Windows sistemi, već imaju zaštitu od ovih ransomware-a. Implementira se u Windows aplikacija Defender Antivirus.
4. Programeri antivirusnog programa iz Kaspersky Lab-a savjetuju svim korisnicima da povremeno prave rezervne kopije svojih podataka. Osim toga, stručnjaci preporučuju blokiranje izvršavanja datoteka c:\windows\infpub.dat, c:\WINDOWS\cscc.dat, a također, ako je moguće, treba zabraniti korištenje WMI usluge.

Zaključak

Svaki korisnik računara treba da zapamti da sajber bezbednost treba da bude na prvom mestu kada radi na mreži. Stoga uvijek trebate osigurati da koristite samo provjerene izvore informacija i pažljivo ih koristite email I društveni mediji. Kroz ove resurse najčešće se šire razni virusi. Osnovna pravila ponašanja u informacionom okruženju pomoći će u otklanjanju problema koji nastaju tokom napada virusa.

Jučer, 24. oktobra 2017. godine, veliki ruski mediji, kao i brojne ukrajinske vladine agencije, napadnuti su od strane nepoznatih napadača. Među žrtvama su Interfax, Fontanka i još najmanje jedna neimenovana internetska publikacija. Prateći medije, o problemima su izvijestili i međunarodni aerodrom Odesa, kijevski metro i ukrajinsko ministarstvo infrastrukture. Prema izjavi analitičara Group-IB, kriminalci su pokušali da napadnu i bankarsku infrastrukturu, ali ti pokušaji su bili neuspješni. Stručnjaci ESET-a pak tvrde da su napadi pogodili korisnike iz Bugarske, Turske i Japana.

Kako se ispostavilo, poremećaji u radu kompanija i vladinih agencija nisu uzrokovani masovnim DDoS napadima, već ransomwareom pod nazivom Bad Rabbit (neki stručnjaci radije pišu BadRabbit bez razmaka).

Jučer se malo znalo o zlonamjernom softveru i mehanizmima njegovog djelovanja: objavljeno je da ransomware zahtijeva otkup od 0,05 bitkoina, a stručnjaci Grupe-IB također su rekli da se napad priprema već nekoliko dana. Tako su na web stranici napadača otkrivene dvije JS skripte, a jedna je, sudeći prema informacijama sa servera, ažurirana 19.10.2017.

Sada, iako nije prošao ni dan od početka napada, analizu ransomwarea već su izvršili stručnjaci iz gotovo svih vodećih kompanija za informatičku sigurnost na svijetu. Dakle, šta je Bad Rabbit, i treba li očekivati ​​novu „epidemiju ransomwarea“ poput WannaCry ili NotPetya?

Kako je Bad Rabbit uspio izazvati velike prekide u medijima kada se radilo o lažnim ažuriranjima Flasha? Prema ESET , Emsisoft I Fox-IT, nakon infekcije, zlonamjerni softver je koristio uslužni program Mimikatz za izdvajanje lozinki iz LSASS-a, a imao je i listu najčešćih prijava i lozinki. Zlonamjerni softver je sve ovo iskoristio za širenje putem SMB-a i WebDAV-a na druge servere i radne stanice koje se nalaze na istoj mreži kao i zaraženi uređaj. Istovremeno, stručnjaci iz gore navedenih kompanija i zaposleni u Cisco Talos-u smatraju da u ovom slučaju nije bilo alata ukradenog od obavještajnih službi koje su iskoristile nedostatke u SMB. Dozvolite mi da vas podsjetim da su virusi WannaCry i NotPetya šireni uz pomoć ovog konkretnog eksploatacije.

Međutim, stručnjaci su ipak uspjeli pronaći neke sličnosti između Bad Rabbita i Petye (NotPetya). Dakle, ransomware ne samo da šifrira korisničke datoteke koristeći DiskCryptor otvorenog koda, već i modifikuje MBR (Master Boot Record), nakon čega ponovo pokreće računar i prikazuje poruku o otkupnini na ekranu.

Iako je poruka sa zahtjevima napadača gotovo identična poruci NotPetya operatera, stručnjaci imaju nešto drugačija mišljenja o povezanosti Bad Rabbita i NotPetya. Tako su to izračunali analitičari Intezera izvor malware

To može biti preteča trećeg talasa virusa za šifrovanje, smatra Kaspersky Lab. Prve dvije bile su senzacionalne WannaCry i Petya (aka NotPetya). Stručnjaci za kibernetičku sigurnost rekli su za MIR 24 o pojavi novog mrežnog zlonamjernog softvera i kako se zaštititi od njegovog snažnog napada.

Većina žrtava napada Bad Rabbit nalazi se u Rusiji. Ima ih znatno manje u Ukrajini, Turskoj i Njemačkoj, napomenuo je šef odjela za istraživanje antivirusa u Kaspersky Lab. Vjačeslav Zakorževski. Vjerovatno su druge najaktivnije zemlje bile one zemlje u kojima korisnici aktivno prate ruske internetske resurse.

Kada zlonamjerni softver inficira računar, on šifrira datoteke na njemu. Distribuira se korišćenjem veb saobraćaja sa hakovanih internet resursa, među kojima su uglavnom bili sajtovi federalnih ruskih medija, kao i računari i serveri kijevskog metroa, ukrajinskog ministarstva infrastrukture i međunarodnog aerodroma Odesa. Zabilježen je i neuspješan pokušaj napada na ruske banke iz prvih 20.

O činjenici da su Fontanka, Interfax i niz drugih publikacija napali Bad Rabbit jučer je izvijestila kompanija Group-IB, specijalizovana za sigurnost informacija. Analiza virusnog koda je to pokazala Bad Rabbit je povezan sa Not Petya ransomwareom, koji je u junu ove godine napao energetske, telekomunikacione i finansijske kompanije u Ukrajini.

Napad je pripreman nekoliko dana i, uprkos razmjerima zaraze, ransomware je od žrtava napada tražio relativno male iznose - 0,05 bitkoina (to je oko 283 dolara ili 15.700 rubalja). Za otkup je predviđeno 48 sati. Nakon isteka ovog perioda, iznos se povećava.

Stručnjaci Group-IB smatraju da hakeri najvjerovatnije nemaju namjeru da zarađuju. Njihov vjerovatni cilj je provjera nivoa zaštite kritičnih infrastrukturnih mreža preduzeća, državnih službi i privatnih kompanija.

Lako je postati žrtva napada

Kada korisnik posjeti zaraženu stranicu, zlonamjerni kod prenosi informacije o njoj udaljenom serveru. Zatim se pojavljuje iskačući prozor u kojem se traži da preuzmete ažuriranje za Flash Player, što je lažno. Ako korisnik odobri operaciju “Instaliraj”, datoteka će biti preuzeta na računar, koji će zauzvrat pokrenuti Win32/Filecoder.D enkriptor na sistemu. Zatim će pristup dokumentima biti blokiran, a na ekranu će se pojaviti poruka o otkupnini.

Virus Bad Rabbit skenira mrežu u potrazi za otvorenim mrežnim resursima, nakon čega pokreće alat na zaraženoj mašini za prikupljanje akreditiva i ovo „ponašanje“ se razlikuje od svojih prethodnika.

Stručnjaci međunarodnog proizvođača antivirusnog softvera Eset NOD 32 potvrdili su da je Bad Rabbit nova modifikacija Petya virus, čiji je princip rada bio isti - virus je šifrirao informacije i tražio otkupninu u bitcoinima (iznos je bio uporediv sa Bad Rabbitom - 300 dolara). Novi zlonamjerni softver popravlja greške u šifriranju datoteka. Kod koji se koristi u virusu je dizajniran za šifriranje logičkih diskova, eksternih USB diskova i CD/DVD slika, kao i particija sistemskog diska za pokretanje sistema.

Govoreći o publici koju je napao Bad Rabbit, šef prodajne podrške u ESET Russia Vitaly Zemskikh navodi da se 65% napada koje su zaustavili antivirusni proizvodi kompanije dogodilo u Rusiji. Ostatak geografije novog virusa izgleda ovako:

Ukrajina – 12,2%

Bugarska – 10,2%

Turska – 6,4%

Japan – 3,8%

ostali – 2,4%

„Poznati ransomware eksploatacije softver otvorenog koda pod nazivom DiskCryptor za šifriranje diskova žrtve. Ekran za zaključavanje poruke koji korisnik vidi je skoro identičan zaključanim ekranima Petya i NotPetya. Međutim, ovo je jedina sličnost koju smo do sada vidjeli između dva zlonamjerna softvera. U svim ostalim aspektima, BadRabbit je potpuno nova i jedinstvena vrsta ransomwarea,” kaže tehnički direktor Check Point Software Technologies. Nikita Durov.

Kako se zaštititi od lošeg zeca?

Holders operativni sistemi Korisnici koji ne koriste Windows mogu odahnuti, jer novi ransomware virus čini ranjivim samo računare sa ovom „osom“.

Kako bi se zaštitili od mrežnog zlonamjernog softvera, stručnjaci preporučuju kreiranje datoteke C:\windows\infpub.dat na vašem računaru i postavljanje prava samo za čitanje za nju - to je lako učiniti u odjeljku administracije. Na ovaj način ćete blokirati izvršavanje datoteke, a svi dokumenti koji pristižu izvana neće biti šifrirani čak i ako su zaraženi. Da biste izbjegli gubitak vrijednih podataka u slučaju zaraze virusom, napravite sigurnosnu kopiju sada. I, naravno, vrijedi zapamtiti da je plaćanje otkupnine zamka koja ne garantuje da će vaš računar biti otključan.

Podsjetimo, virus se u maju ove godine proširio u najmanje 150 zemalja svijeta. Šifrirao je informacije i tražio da plati otkupninu, prema različitim izvorima, od 300 do 600 dolara. Preko 200 hiljada korisnika je pogođeno njime. Prema jednoj verziji, njegovi kreatori su kao osnovu uzeli zlonamjerni softver američke NSA Eternal Blue.

Alla Smirnova razgovarala je sa stručnjacima