Was ist der Bad Rabbit-Virus und wie können Sie Ihren Computer schützen? Bad Rabbit: ein weiterer Ransomware-Virus

Die als Bad Rabbit bekannte Ransomware hat Zehntausende von Computern in der Ukraine, der Türkei und Deutschland angegriffen. Aber die meisten Angriffe richteten sich gegen Russland. Um was für einen Virus es sich handelt und wie Sie Ihren Computer schützen, verraten wir Ihnen in unserer Rubrik „Frage und Antwort“.

Wer litt in Russland an Bad Rabbit?

Die Ransomware Bad Rabbit begann sich am 24. Oktober zu verbreiten. Zu den Opfern seiner Taten gehören die Nachrichtenagentur Interfax und die Publikation Fontanka.ru.

Auch die U-Bahn von Kiew und der Flughafen von Odessa litten unter den Hackerangriffen. Nachdem über einen Versuch bekannt wurde, das System mehrerer russischer Banken aus den Top 20 zu hacken.

Allen Anzeichen nach handelt es sich um einen gezielten Angriff auf Unternehmensnetzwerke, da ähnliche Methoden wie bei der Attacke des ExPetr-Virus zum Einsatz kommen.

Das neue Virus stellt eine Forderung an alle: ein Lösegeld von 0,05 Bitcoin. In Rubel ausgedrückt sind dies etwa 16.000 Rubel. Gleichzeitig teilt er mit, dass die Frist zur Erfüllung dieser Anforderung begrenzt ist. Für alles über alles werden etwas mehr als 40 Stunden angegeben. Außerdem wird die Lösegeldgebühr steigen.

Was ist dieses Virus und wie funktioniert es?

Haben Sie schon herausgefunden, wer hinter der Verbreitung steckt?

Wer hinter diesem Angriff steckt, konnte nicht geklärt werden. Die Untersuchung führte die Programmierer nur zum Domainnamen.

Spezialisten von Antivirus-Unternehmen stellen die Ähnlichkeit des neuen Virus mit dem Petya-Virus fest.

Aber im Gegensatz zu früheren Viren dieses Jahres haben sich die Hacker laut 1tv.ru diesmal für einen einfacheren Weg entschieden.

„Anscheinend haben die Kriminellen damit gerechnet, dass die Benutzer in den meisten Unternehmen nach diesen beiden Angriffen ihre Computer aktualisieren würden, und beschlossen, ein ziemlich billiges Tool – Social Engineering – auszuprobieren, um die Benutzer zunächst relativ leise zu infizieren“, sagte der Leiter der Anti- Virenforschungsabteilung bei Kaspersky Lab Vyacheslav Zakorzhevsky.

Wie schützt man seinen Computer vor einem Virus?

Stellen Sie sicher, dass Sie Ihr System sichern. Wenn Sie zum Schutz Kaspersky, ESET, Dr.Web oder andere beliebte Analoga verwenden, sollten Sie die Datenbanken umgehend aktualisieren. Außerdem müssen Sie für Kaspersky die "Aktivitätsüberwachung" (System Watcher) aktivieren und Signaturen mit Update 16295 auf ESET anwenden, informiert talkdevice.

Wenn Sie keine Antivirenprogramme haben, blockieren Sie die Ausführung der Dateien C:\Windows\infpub.dat und C:\Windows\cscc.dat. Dies erfolgt über den Gruppenrichtlinien-Editor oder das AppLocker-Programm für Windows.

Deaktivieren Sie den Dienst – Windows Management Instrumentation (WMI). Geben Sie über die rechte Schaltfläche die Eigenschaften des Dienstes ein und wählen Sie den Modus "Deaktiviert" im "Starttyp".

Dritter großer Cyberangriff innerhalb eines Jahres. Diesmal ein Virus mit einem neuen Namen Bad Rabbit und alten Gewohnheiten – Datenverschlüsselung und Gelderpressung zum Entsperren. Und im betroffenen Gebiet befinden sich noch Russland, die Ukraine und einige andere GUS-Staaten.

Der Bad Rabbit handelt nach dem üblichen Schema: Er versendet eine Phishing-E-Mail mit einem angehängten Virus oder einem Link. Insbesondere können sich Angreifer als technischer Support von Microsoft ausgeben und ihn bitten, dringend eine angehängte Datei zu öffnen oder einem Link zu folgen. Es gibt noch einen anderen Verbreitungsweg – ein gefälschtes Aktualisierungsfenster für den Adobe Flash Player. In beiden Fällen verhält sich Bad Rabbit genauso wie der Sensationelle vor nicht allzu langer Zeit, verschlüsselt die Daten des Opfers und verlangt ein Lösegeld von 0,05 Bitcoin, was zum Wechselkurs vom 25. Oktober 2017 etwa 280 Dollar entspricht. Die Opfer der neuen Epidemie waren Interfax, die St. Petersburger Ausgabe von Fontanka, die Kiewer Metro, der Flughafen von Odessa und das Kulturministerium der Ukraine. Es gibt Hinweise darauf, dass der neue Virus versucht hat, mehrere bekannte russische Banken anzugreifen, aber diese Idee ist gescheitert. Experten bringen Bad Rabbit mit früheren großen Angriffen in Verbindung, die in diesem Jahr verzeichnet wurden. Ein Beweis dafür ist die ähnliche Verschlüsselungssoftware Diskcoder.D, und dies ist derselbe Petya-Verschlüsseler, nur leicht modifiziert.

Wie kann man sich vor Bad Rabbit schützen?

Experten empfehlen Besitzern von Windows-Computern, die Datei „infpub.dat“ zu erstellen und sie im Windows-Ordner auf dem Laufwerk „C“ abzulegen. Als Ergebnis sollte der Pfad wie folgt aussehen: C:\windows\infpub.dat. Dies kann mit einem normalen Notizblock erfolgen, jedoch mit Administratorrechten. Dazu finden wir den Link zum Notepad-Programm, klicken mit der rechten Maustaste und wählen "Als Administrator ausführen".

Dann müssen Sie diese Datei nur noch unter der Adresse C:\windows\ speichern, also im Windows-Ordner auf Laufwerk C:. Dateiname: infpub.dat, wobei „dat“ die Dateierweiterung ist. Vergessen Sie nicht, die standardmäßige Notepad-Erweiterung „txt“ durch „dat“ zu ersetzen. Nachdem Sie die Datei gespeichert haben, öffnen Sie den Windows-Ordner, suchen Sie die erstellte infpub.dat-Datei, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Eigenschaften“, wo Sie ganz unten „Schreibgeschützt“ aktivieren müssen. Selbst wenn Sie sich also den Bad Rabbit-Virus einfangen, kann er Ihre Daten nicht verschlüsseln.

Vorsichtsmaßnahmen

Vergessen Sie nicht, dass Sie sich vor jedem Virus schützen können, indem Sie einfach bestimmte Regeln befolgen. Es klingt abgedroschen, aber öffnen Sie niemals Briefe und erst recht deren Anhänge, wenn Ihnen die Adresse verdächtig vorkommt. Phishing-E-Mails, die sich als andere Dienste tarnen, sind die häufigste Infektionsmethode. Seien Sie vorsichtig, was Sie öffnen. Wenn die angehängte Datei im Brief „Wichtiges Dokument.docx_______.exe“ heißt, dann sollten Sie diese Datei auf keinen Fall öffnen. Darüber hinaus benötigen Sie Sicherungskopien wichtiger Dateien. Beispielsweise kann ein Familienarchiv mit Fotos oder Arbeitsdokumenten auf ein externes Laufwerk oder einen Cloud-Speicher dupliziert werden. Vergessen Sie nicht, wie wichtig es ist, eine lizenzierte Version von Windows zu verwenden und regelmäßig Updates zu installieren. Sicherheitspatches werden regelmäßig von Microsoft veröffentlicht und diejenigen, die sie installieren, haben keine Probleme mit solchen Viren.

Ende Oktober dieses Jahres war das Auftauchen eines neuen Virus gekennzeichnet, der die Computer von Unternehmens- und Privatanwendern aktiv angriff. Der neue Virus ist eine Ransomware und heißt Bad Rabbit, was böses Kaninchen bedeutet. Mit Hilfe dieses Virus wurden die Websites mehrerer russischer Massenmedien angegriffen. Später wurde das Virus auch in den Informationsnetzen ukrainischer Unternehmen gefunden. Dort wurden die Informationsnetze der U-Bahn, verschiedene Ministerien, internationale Flughäfen usw. angegriffen. Wenig später wurde in Deutschland und der Türkei ein ähnlicher Virusbefall beobachtet, dessen Aktivität allerdings deutlich geringer war als in der Ukraine und Russland.

Ein bösartiger Virus ist ein spezielles Plug-in, das, nachdem es in einen Computer eingedrungen ist, seine Dateien verschlüsselt. Sobald die Informationen verschlüsselt wurden, versuchen Angreifer, von Benutzern Belohnungen für die Entschlüsselung ihrer Daten zu erhalten.

Verbreitung des Virus

Experten des ESET-Entwicklungslabors für Antivirensoftware analysierten den Algorithmus des Virusverbreitungspfads und kamen zu dem Schluss, dass es sich um einen modifizierten Virus handelt, der sich kürzlich wie der Petya-Virus verbreitet hat.

ESET-Laborexperten haben berechnet, dass schädliche Plugins von der Ressource 1dnscontrol.com und der IP-Adresse IP5.61.37.209 verbreitet wurden. Dieser Domain und IP sind auch mehrere weitere Ressourcen zugeordnet, darunter secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.

Spezialisten haben untersucht, dass die Besitzer dieser Seiten viele verschiedene Ressourcen registriert haben, zum Beispiel solche, über die sie mit Hilfe von Spam-Mails versuchen, gefälschte Medikamente zu verkaufen. ESET-Spezialisten schließen nicht aus, dass mit Hilfe dieser Ressourcen unter Verwendung von Spam und Phishing der wichtigste Cyberangriff durchgeführt wurde.

Wie wird der Bad Rabbit-Virus infiziert?

Spezialisten des Computer-Forensik-Labors untersuchten, wie der Virus auf die Computer der Benutzer gelangte. Es wurde festgestellt, dass der Bad Rabbit-Ransomware-Virus in den meisten Fällen als Update für Adobe Flash verbreitet wurde. Das heißt, der Virus nutzte keine Schwachstellen des Betriebssystems, sondern wurde von den Benutzern selbst installiert, die, ohne sich dessen bewusst zu sein, seine Installation genehmigten, weil sie dachten, dass sie das Adobe Flash-Plug-in aktualisieren würden. Wenn der Virus in das lokale Netzwerk eindrang, stahl er Logins und Passwörter aus dem Speicher und verbreitete sich selbstständig auf andere Computersysteme.

Wie Hacker Geld erpressen

Nachdem der Ransomware-Virus auf dem Computer installiert wurde, verschlüsselt er die gespeicherten Informationen. Als Nächstes erhalten die Benutzer eine Nachricht, dass sie für den Zugriff auf ihre Daten eine Zahlung auf der angegebenen dunklen Website vornehmen müssen. Dazu müssen Sie zunächst einen speziellen Tor-Browser installieren. Dafür, dass der Rechner entsperrt wird, erpressen die Angreifer eine Zahlung in Höhe von 0,05 Bitcoins. Heute, bei einem Preis von 5600 $ für 1 Bitcoin, sind das ungefähr 280 $ für das Entsperren eines Computers. Um eine Zahlung vorzunehmen, wird dem Benutzer eine Frist von 48 Stunden eingeräumt. Wenn nach diesem Zeitraum der erforderliche Betrag nicht auf das elektronische Konto des Angreifers überwiesen wurde, erhöht sich der Betrag.

So schützen Sie sich vor dem Virus

1. Um sich vor einer Infektion mit dem Bad-Rabbit-Virus zu schützen, sollten Sie den Zugriff aus der Informationsumgebung auf die oben genannten Domänen sperren.
2. Für Privatanwender müssen Sie die aktuelle Version von Windows sowie das Antivirenprogramm aktualisieren. In diesem Fall wird die schädliche Datei als Ransomware-Virus erkannt, wodurch die Möglichkeit ihrer Installation auf dem Computer ausgeschlossen wird.
3. Diejenigen Benutzer, die den integrierten Virenschutz des Windows-Betriebssystems verwenden, sind bereits vor dieser Ransomware geschützt. Es ist in der Windows Defender Antivirus-Anwendung implementiert.
4. Die Entwickler des Antivirenprogramms von Kaspersky Lab raten allen Benutzern, ihre Daten regelmäßig zu sichern. Darüber hinaus empfehlen Experten, die Ausführung von Dateien c:\windows\infpub.dat, c:\WINDOWS\cscc.dat zu blockieren und, wenn möglich, die Verwendung des WMI-Dienstes zu deaktivieren.

Fazit

Jeder Computerbenutzer sollte bedenken, dass Cybersicherheit bei der Arbeit im Netzwerk an erster Stelle stehen sollte. Daher sollten Sie immer die Verwendung von nur verifizierten Informationsquellen überwachen und E-Mail und soziale Netzwerke sorgfältig verwenden. Über diese Ressourcen erfolgt die Verbreitung verschiedener Viren am häufigsten. Elementare Verhaltensregeln in der Informationsumgebung beseitigen die Probleme, die während eines Virenangriffs auftreten.

Gestern, 24. Oktober 2017, große russische Medien sowie eine Reihe ukrainischer Regierungsbehörden, unbekannte Eindringlinge. Zu den Opfern gehörten Interfax, Fontanka und mindestens eine weitere namenlose Online-Publikation. Nach Medienberichten wurden die Probleme auch vom Odessa International Airport, der Kiewer Metro und dem ukrainischen Infrastrukturministerium gemeldet. Laut Analysten von Group-IB versuchten die Kriminellen auch, Bankinfrastrukturen anzugreifen, aber diese Versuche blieben erfolglos. ESET-Spezialisten wiederum behaupten, dass die Angriffe Benutzer aus Bulgarien, der Türkei und Japan betrafen.

Wie sich herausstellte, wurden die Störungen in der Arbeit von Unternehmen und Behörden nicht durch massive DDoS-Angriffe verursacht, sondern durch eine Ransomware namens Bad Rabbit (einige Experten schreiben BadRabbit lieber ohne Leerzeichen).

Gestern war wenig über die Malware und ihre Funktionsweise bekannt: Es wurde berichtet, dass die Ransomware ein Lösegeld von 0,05 Bitcoin forderte, und Experten der Group-IB sagten, dass der Angriff mehrere Tage vorbereitet worden sei. So wurden auf der Seite der Angreifer zwei JS-Skripte gefunden, und nach den Informationen des Servers zu urteilen, wurde eines davon am 19. Oktober 2017 aktualisiert.

Jetzt, obwohl seit Beginn der Angriffe weniger als ein Tag vergangen ist, haben Experten von fast allen führenden Inder Welt die Ransomware bereits analysiert. Also, was ist Bad Rabbit, und müssen wir mit einer neuen „Ransomware-Epidemie“ wie WannaCry oder NotPetya rechnen?

Wie hat es Bad Rabbit geschafft, die Mainstream-Medien zu stören, wenn es sich um gefälschte Flash-Updates handelte? Entsprechend ESET , Emsisoft Und Fox-IT, verwendete die Malware nach der Infektion das Dienstprogramm Mimikatz, um Passwörter aus LSASS zu extrahieren, und hatte auch eine Liste der häufigsten Logins und Passwörter. Die Malware nutzte all dies, um sich über SMB und WebDAV auf andere Server und Workstations zu verbreiten, die sich im selben Netzwerk wie das infizierte Gerät befinden. Gleichzeitig glauben Experten der oben aufgeführten Unternehmen und Mitarbeiter von Cisco Talos, dass in diesem Fall kein Tool von speziellen Diensten gestohlen wurde, das Lücken in SMB nutzt. Ich möchte Sie daran erinnern, dass die Viren WannaCry und NotPetya mithilfe dieses speziellen Exploits verbreitet wurden.

Dennoch gelang es Experten, einige Ähnlichkeiten zwischen Bad Rabbit und Petya (NotPetya) zu finden. Die Ransomware verschlüsselt also nicht nur Benutzerdateien mit dem Open-Source-DiskCryptor, sondern modifiziert auch den MBR (Master Boot Record), startet danach den Computer neu und zeigt eine Lösegeldforderung auf dem Bildschirm an.

Obwohl die Anforderungsnachricht des Angreifers fast identisch mit der der NotPetya-Betreiber ist, unterscheiden sich Experten geringfügig über die Verbindung zwischen Bad Rabbit und NotPetya. So errechneten die Intezer-Analysten den Quellcode von Malware

Laut Kaspersky Lab könnte es sich um einen Vorboten der dritten Welle von Ransomware-Viren handeln. Die ersten beiden waren das sensationelle WannaCry und Petya (alias NotPetya). Cybersicherheitsexperten sprachen mit MIR 24 über das Auftauchen einer neuen Netzwerk-Malware und wie man sich gegen ihren mächtigen Angriff verteidigt.

Die meisten Opfer des Bad-Rabbit-Angriffs befinden sich in Russland. Auf dem Territorium der Ukraine, der Türkei und Deutschlands gibt es viel weniger von ihnen, sagte der Leiter der Antiviren-Forschungsabteilung von Kaspersky Lab Wjatscheslaw Zakorschewski. Wahrscheinlich erwiesen sich die Länder, in denen Benutzer russischen Internetressourcen aktiv folgen, als die zweitaktivsten.

Wenn Malware einen Computer infiziert, verschlüsselt sie Dateien darauf. Es verbreitet sich über den Webverkehr von gehackten Internetressourcen, darunter vor allem die Websites der föderalen russischen Medien sowie Computer und Server der Kiewer U-Bahn, des ukrainischen Infrastrukturministeriums und des internationalen Flughafens von Odessa. Ein erfolgloser Versuch, russische Banken aus den Top 20 anzugreifen, wurde ebenfalls registriert.

Die Tatsache, dass Fontanka, Interfax und eine Reihe anderer Publikationen von Bad Rabbit angegriffen wurden, wurde gestern von Group-IB, einem auf Informationssicherheit spezialisierten Unternehmen, gemeldet. Das ergab eine Analyse des Virencodes Bad Rabbit wird mit der Ransomware Not Petya in Verbindung gebracht, die im Juni veröffentlicht wurde in diesem Jahr angegriffene Energie-, Telekommunikations- und Finanzunternehmen in der Ukraine.

Der Angriff wurde mehrere Tage lang vorbereitet und trotz des Ausmaßes der Infektion forderte die Ransomware von den Opfern des Angriffs relativ kleine Beträge – 0,05 Bitcoins (etwa 283 $ oder 15.700 Rubel). Sie haben 48 Stunden Zeit zum Einlösen. Nach Ablauf dieser Frist erhöht sich der Betrag.

Group-IB-Spezialisten glauben, dass die Hacker höchstwahrscheinlich nicht die Absicht haben, Geld zu verdienen. Ihr wahrscheinliches Ziel ist es, das Schutzniveau kritischer Infrastrukturnetzwerke von Unternehmen, Regierungsstellen und Privatunternehmen zu testen.

Es ist leicht, angegriffen zu werden

Wenn ein Benutzer eine infizierte Website besucht, sendet der bösartige Code Informationen über den Benutzer an einen Remote-Server. Als nächstes erscheint ein Popup-Fenster, in dem Sie aufgefordert werden, ein Update für Flash Player herunterzuladen, das gefälscht ist. Wenn der Benutzer den Vorgang „Installieren“ genehmigt hat, wird eine Datei auf den Computer heruntergeladen, die wiederum den Encoder Win32/Filecoder.D im System startet. Außerdem wird der Zugriff auf Dokumente blockiert, eine Lösegeldforderung wird auf dem Bildschirm angezeigt.

Der Bad-Rabbit-Virus durchsucht das Netzwerk nach offenen Netzwerkressourcen, woraufhin er ein Tool zum Sammeln von Anmeldeinformationen auf dem infizierten Computer startet, und dieses „Verhalten“ unterscheidet sich von seinen Vorgängern.

Spezialisten des internationalen Entwicklers der Antivirensoftware Eset NOD 32 bestätigten, dass Bad Rabbit eine neue Modifikation des Petya-Virus ist, dessen Prinzip dasselbe war – der Virus verschlüsselte Informationen und forderte ein Lösegeld in Bitcoins (der Betrag war vergleichbar mit Böses Kaninchen - 300 $). Die neue Malware behebt Fehler in der Dateiverschlüsselung. Der im Virus verwendete Code wurde entwickelt, um logische Laufwerke, externe USB-Laufwerke und CD/DVD-Images sowie bootfähige Festplattenpartitionen zu verschlüsseln.

Apropos Publikum, das von Bad Rabbit angegriffen wurde, Head of Sales Support ESET Russia Witali Zemsky gab an, dass 65 % der Angriffe, die von den Antivirus-Produkten des Unternehmens gestoppt werden, auf Russland fallen. Der Rest der Geografie des neuen Virus sieht folgendermaßen aus:

Ukraine - 12,2 %

Bulgarien - 10,2 %

Türkei - 6,4 %

Japan - 3,8 %

andere - 2,4 %

„Die Ransomware verwendet eine bekannte Open-Source-Software namens DiskCryptor, um die Laufwerke des Opfers zu verschlüsseln. Der Sperrnachrichtenbildschirm, den der Benutzer sieht, ist fast identisch mit den Sperrbildschirmen von Petya und NotPetya. Dies ist jedoch die einzige Ähnlichkeit, die wir bisher zwischen den beiden Malware gesehen haben. In allen anderen Aspekten ist BadRabbit eine völlig neue und einzigartige Art von Ransomware“, sagt der CTO von Check Point Software Technologies. Nikita Durow.

Wie kann man sich vor Bad Rabbit schützen?

Besitzer anderer Betriebssysteme als Windows können aufatmen, denn der neue Ransomware-Virus macht nur Rechner mit dieser „Achse“ angreifbar.

Um sich vor Netzwerk-Malware zu schützen, empfehlen Experten, die Datei C:\windows\infpub.dat auf Ihrem Computer zu erstellen und gleichzeitig die Leserechte festzulegen - dies ist einfach im Verwaltungsbereich möglich. Auf diese Weise blockieren Sie die Ausführung der Datei, und alle von außen kommenden Dokumente werden nicht verschlüsselt, selbst wenn sie sich als infiziert herausstellen. Um im Falle einer Infektion mit einem Virus keine wertvollen Daten zu verlieren, erstellen Sie jetzt ein Backup (Sicherungskopie). Und natürlich ist es wichtig, sich daran zu erinnern, dass die Zahlung eines Lösegelds eine Falle ist, die Ihnen nicht garantiert, dass Sie Ihren Computer entsperren.

Denken Sie daran, dass sich das Virus im Mai dieses Jahres in mindestens 150 Ländern auf der ganzen Welt verbreitet hat. Er verschlüsselte die Informationen und forderte laut verschiedenen Quellen ein Lösegeld von 300 bis 600 Dollar. Mehr als 200.000 Benutzer litten darunter. Laut einer Version haben sich ihre Macher an der US-amerikanischen NSA-Malware Eternal Blue orientiert.

Alla Smirnova sprach mit Experten