Što je virus Bad Rabbit i kako zaštititi svoje računalo. Bad Rabbit: još jedan ransomware virus
Ransomware poznat kao Bad Rabbit napao je desetke tisuća računala u Ukrajini, Turskoj i Njemačkoj. Ali većina napada bila je protiv Rusije. Kakav je to virus i kako zaštititi svoje računalo, govorimo u našem odjeljku "Pitanje i odgovor".
Tko je u Rusiji patio od lošeg zeca?
Bad Rabbit ransomware počeo se širiti 24. listopada. Među žrtvama njegovih postupaka su novinska agencija Interfax i publikacija Fontanka.ru.
Kijevski metro i zračna luka Odesa također su stradali od akcija hakera. Nakon što se saznalo za pokušaj hakiranja sustava nekoliko ruskih banaka iz prvih 20.
Po svemu sudeći, radi se o ciljanom napadu na korporativne mreže, jer se koriste metode slične onima uočenim tijekom napada virusa ExPetr.
Novi virus zahtijeva jedan zahtjev za sve: otkupninu od 0,05 bitcoina. Što se tiče rubalja, to je oko 16 tisuća rubalja. Ujedno obavještava da je vrijeme za ispunjavanje ovog zahtjeva ograničeno. Za sve o svemu dano je nešto više od 40 sati. Nadalje, naknada za otkupninu će se povećati.
Što je ovaj virus i kako djeluje?
Jeste li već shvatili tko stoji iza njegove distribucije?
Nije moguće doznati tko stoji iza ovog napada. Istraga je programere dovela samo do naziva domene.
Stručnjaci antivirusnih tvrtki primjećuju sličnost novog virusa s virusom Petya.
No, za razliku od prethodnih ovogodišnjih virusa, ovaj put su hakeri odlučili krenuti jednostavnijim putem, navodi 1tv.ru.
"Očito su kriminalci očekivali da će u većini tvrtki korisnici ažurirati svoja računala nakon ova dva napada, te su odlučili isprobati prilično jeftin alat - društveni inženjering, kako bi u početku relativno tiho zarazili korisnike", rekao je voditelj anti- odjel za istraživanje virusa u Kaspersky Labu Vyacheslav Zakorzhevsky.
Kako zaštititi svoje računalo od virusa?
Obavezno napravite sigurnosnu kopiju sustava. Ako za zaštitu koristite Kaspersky, ESET, Dr.Web ili druge popularne analoge, trebali biste odmah ažurirati baze podataka. Također, za Kaspersky morate omogućiti "Nadzor aktivnosti" (System Watcher) i primijeniti potpise s ažuriranjem 16295 na ESET, obavještava talkdevice.
Ako nemate antivirusne programe, blokirajte izvršavanje datoteka C:\Windows\infpub.dat i C:\Windows\cscc.dat. To se radi putem uređivača pravila grupe ili programa AppLocker za Windows.
Onemogućite uslugu - Windows Management Instrumentation (WMI). Desnim gumbom uđite u svojstva usluge i odaberite način rada "Onemogućeno" u "Vrsta pokretanja".
Treći veliki cyber napad u godinu dana. Ovaj put virus s novim imenom Bad Rabbit i starim navikama – šifriranje podataka i iznuda novca za otključavanje. A u zahvaćenom području još su Rusija, Ukrajina i neke druge zemlje ZND-a.
Bad Rabbit djeluje prema uobičajenoj shemi: šalje phishing email s priloženim virusom ili vezom. Konkretno, napadači se mogu predstavljati kao Microsoftova tehnička podrška i zamoliti ih da hitno otvore priloženu datoteku ili slijede vezu. Postoji još jedan put distribucije - lažni prozor za ažuriranje Adobe Flash Playera. U oba slučaja Bad Rabbit djeluje na isti način kao i senzacionalni ne tako davno, šifrira podatke žrtve i traži otkupninu od 0,05 bitcoina, što je otprilike 280 dolara po tečaju na dan 25. listopada 2017. godine. Žrtve nove epidemije bili su Interfax, peterburško izdanje Fontanke, kijevski metro, zračna luka Odesa i Ministarstvo kulture Ukrajine. Postoje dokazi da je novi virus pokušao napasti nekoliko poznatih ruskih banaka, ali ta ideja nije uspjela. Stručnjaci Bad Rabbita povezuju s prethodnim velikim napadima zabilježenim ove godine. Dokaz za to je sličan softver za šifriranje Diskcoder.D, a ovo je isti Petya enkriptor, samo malo izmijenjen.
Kako se zaštititi od lošeg zeca?
Stručnjaci preporučuju vlasnicima Windows računala stvoriti datoteku "infpub.dat" i smjestiti je u mapu Windows na "C" pogonu. Kao rezultat, put bi trebao izgledati ovako: C:\windows\infpub.dat. To se može učiniti pomoću uobičajene bilježnice, ali s administratorskim pravima. Da biste to učinili, nalazimo vezu na program Notepad, kliknite desnom tipkom miša i odaberite "Pokreni kao administrator".
Zatim samo trebate spremiti ovu datoteku na adresu C:\windows\, odnosno u Windows mapu na C pogonu. Naziv datoteke: infpub.dat, pri čemu je "dat" ekstenzija datoteke. Nemojte zaboraviti zamijeniti zadano proširenje bilježnice "txt" s "dat". Nakon što spremite datoteku, otvorite mapu Windows, pronađite kreiranu datoteku infpub.dat, kliknite desnom tipkom miša na nju i odaberite "Properties", gdje na samom dnu trebate označiti "Samo čitanje". Stoga, čak i ako uhvatite virus Bad Rabbit, on neće moći šifrirati vaše podatke.
Preventivne mjere
Ne zaboravite da se od bilo kojeg virusa možete zaštititi jednostavnim pridržavanjem određenih pravila. Zvuči otrcano, ali nikad otvorena pisma, a još više njihovi prilozi, ako vam se adresa učini sumnjivom. Phishing e-mailovi, odnosno maskiranje u druge usluge, najčešći su način zaraze. Pazite što otvarate. Ako se priložena datoteka u pismu zove “Važan dokument.docx_______.exe”, onda definitivno ne biste trebali otvarati ovu datoteku. Osim toga, morate imati sigurnosne kopije važnih datoteka. Na primjer, obiteljska arhiva s fotografijama ili radnim dokumentima može se duplicirati na vanjski disk ili pohranu u oblaku. Ne zaboravite koliko je važno koristiti licenciranu verziju sustava Windows i redovito instalirati ažuriranja. Sigurnosne zakrpe Microsoft objavljuje redovito i oni koji ih instaliraju nemaju problema s takvim virusima.
Kraj listopada ove godine obilježila je pojava novog virusa koji je aktivno napadao računala korporativnih i kućnih korisnika. Novi virus je ransomware i zove se Bad Rabbit, što znači loš zec. Uz pomoć ovog virusa napadnute su web stranice nekoliko ruskih masovnih medija. Kasnije je virus pronađen i u informacijskim mrežama ukrajinskih poduzeća. Tamo su napadnute informacijske mreže podzemne željeznice, raznih ministarstava, međunarodnih zračnih luka i tako dalje. Nešto kasnije, sličan napad virusa primijećen je u Njemačkoj i Turskoj, iako je njegova aktivnost bila znatno niža nego u Ukrajini i Rusiji.
Zlonamjerni virus je poseban dodatak koji, nakon što uđe u računalo, šifrira njegove datoteke. Nakon što su informacije šifrirane, napadači pokušavaju dobiti nagrade od korisnika za dešifriranje njihovih podataka.
Širenje virusa
Stručnjaci iz laboratorija za razvoj antivirusnog softvera ESET analizirali su algoritam puta širenja virusa i došli do zaključka da se radi o modificiranom virusu koji se nedavno proširio poput Petya virusa.
ESET-ovi laboratorijski stručnjaci izračunali su da su zlonamjerni dodaci distribuirani s resursa 1dnscontrol.com i IP adrese IP5.61.37.209. Još nekoliko resursa također je povezano s ovom domenom i IP-om, uključujući secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.
Stručnjaci su istražili da su vlasnici ovih stranica registrirali mnoge različite resurse, na primjer, one putem kojih, uz pomoć neželjene pošte, pokušavaju prodati krivotvorene lijekove. Stručnjaci ESET-a ne isključuju da je upravo uz pomoć tih resursa, korištenjem neželjene pošte i phishinga, izvršen glavni cyber napad.
Kako se virus Bad Rabbit inficira?
Stručnjaci laboratorija računalne forenzike istraživali su kako je virus dospio na računala korisnika. Utvrđeno je da je u većini slučajeva ransomware virus Bad Rabbit distribuiran kao ažuriranje za Adobe Flash. Odnosno, virus nije koristio nikakve ranjivosti operativnog sustava, već su ga instalirali sami korisnici, koji su, nesvjesni toga, odobrili njegovu instalaciju, misleći da ažuriraju Adobe Flash dodatak. Kada bi virus ušao u lokalnu mrežu, ukrao bi prijave i lozinke iz memorije i sam se proširio na druge računalne sustave.
Kako hakeri iznuđuju novac
Nakon što je ransomware virus instaliran na računalo, on šifrira pohranjene podatke. Dalje, korisnici dobivaju poruku koja pokazuje da za pristup svojim podacima moraju izvršiti uplatu na navedenoj tamnoj web stranici. Da biste to učinili, prvo morate instalirati poseban preglednik Tor. Za to što će računalo biti otključano, napadači iznuđuju plaćanje u iznosu od 0,05 bitcoina. Danas, po cijeni od 5600 USD za 1 Bitcoin, ovo je otprilike 280 USD za otključavanje računala. Za izvršenje plaćanja korisniku se daje vremenski period od 48 sati. Nakon tog razdoblja, ako traženi iznos nije doznačen na elektronički račun napadača, iznos se povećava.
Kako se zaštititi od virusa
- Kako biste se zaštitili od zaraze virusom Bad Rabbit, trebali biste blokirati pristup iz informacijskog okruženja gore navedenim domenama.
- Za kućne korisnike morate ažurirati trenutnu verziju sustava Windows kao i antivirusni program. U tom će slučaju zlonamjerna datoteka biti otkrivena kao ransomware virus, što će isključiti mogućnost njezine instalacije na računalu.
- Oni korisnici koji koriste ugrađeni antivirus operacijskog sustava Windows već imaju zaštitu od ovih ransomwarea. Implementiran je u antivirusnoj aplikaciji Windows Defender.
- Programeri antivirusnog programa iz Kaspersky Laba savjetuju svim korisnicima da povremeno sigurnosno kopiraju svoje podatke. Osim toga, stručnjaci preporučuju blokiranje izvršavanja datoteka c:\windows\infpub.dat, c:\WINDOWS\cscc.dat i, ako je moguće, onemogućiti korištenje WMI usluge.
Zaključak
Svaki korisnik računala trebao bi zapamtiti da bi kibernetička sigurnost trebala biti na prvom mjestu pri radu na mreži. Stoga uvijek trebate pratiti korištenje samo provjerenih izvora informacija te pažljivo koristiti e-poštu i društvene mreže. Upravo kroz te resurse najčešće se provodi širenje raznih virusa. Elementarna pravila ponašanja u informacijskom okruženju otklonit će probleme koji nastaju tijekom napada virusa.
Jučer, 24. listopada 2017., veliki ruski mediji, kao i niz ukrajinskih vladinih agencija, nepoznati uljezi. Među žrtvama su Interfax, Fontanka i još najmanje jedna neimenovana internetska publikacija. Prateći medije, o problemima su izvijestili i Međunarodna zračna luka Odesa, kijevski metro i ukrajinsko Ministarstvo infrastrukture. Prema analitičarima Group-IB, kriminalci su pokušali napasti i bankovnu infrastrukturu, ali ti pokušaji nisu bili uspješni. Stručnjaci ESET-a pak tvrde da su napadi zahvatili korisnike iz Bugarske, Turske i Japana.
Kako se pokazalo, poremećaji u radu tvrtki i državnih agencija nisu uzrokovani masovnim DDoS napadima, već ransomwareom koji nosi ime Bad Rabbit (neki stručnjaci radije pišu BadRabbit bez razmaka).
Jučer se malo znalo o zlonamjernom softveru i kako funkcionira: objavljeno je da ransomware traži otkupninu od 0,05 bitcoina, a stručnjaci Grupe-IB rekli su da se napad pripremao nekoliko dana. Dakle, na stranicama napadača pronađene su dvije JS skripte, a, sudeći prema informacijama sa servera, jedna je ažurirana 19. listopada 2017. godine.
Sada, iako je prošlo manje od jednog dana od početka napada, stručnjaci iz gotovo svih vodećih tvrtki za informacijsku sigurnost na svijetu već su analizirali ransomware. Dakle, što je Bad Rabbit i trebamo li očekivati novu "epidemiju ransomwarea" poput WannaCry ili NotPetya?
Kako je Bad Rabbit uspio poremetiti mainstream medije ako je riječ o lažnim ažuriranjima Flasha? Prema ESET , Emsisoft I Fox IT, nakon infekcije, zlonamjerni softver je koristio uslužni program Mimikatz za izdvajanje lozinki iz LSASS-a, a imao je i popis najčešćih prijava i lozinki. Zlonamjerni softver je sve to iskoristio za širenje putem SMB-a i WebDAV-a na druge poslužitelje i radne stanice koje se nalaze na istoj mreži kao i zaraženi uređaj. Istodobno, stručnjaci iz gore navedenih tvrtki i zaposlenici Cisco Talosa smatraju da u ovom slučaju nije bilo alata ukradenog iz posebnih servisa koji koristi praznine u SMB-u. Dopustite mi da vas podsjetim da su virusi WannaCry i NotPetya distribuirani pomoću ovog konkretnog exploit-a.
Međutim, stručnjaci su ipak uspjeli pronaći neke sličnosti između Bad Rabbita i Petye (NotPetya). Dakle, ransomware ne samo šifrira korisničke datoteke pomoću otvorenog koda DiskCryptor, već mijenja MBR (Master Boot Record), nakon čega ponovno pokreće računalo i prikazuje poruku o otkupnini na ekranu.
Iako je poruka o zahtjevu napadača gotovo identična onoj od NotPetya operatera, stručnjaci se neznatno razlikuju u vezi između Bad Rabbita i NotPetya. Tako su analitičari Intezera izračunali da je izvorni kod zlonamjernog softvera
Prema Kaspersky Labu, to može biti preteča trećeg vala ransomware virusa. Prve dvije bile su senzacionalne WannaCry i Petya (aka NotPetya). Stručnjaci za kibernetičku sigurnost govorili su za MIR 24 o pojavi novog mrežnog zlonamjernog softvera i kako se obraniti od njegovog snažnog napada.
Većina žrtava napada Bad Rabbit nalazi se u Rusiji. Na području Ukrajine, Turske i Njemačke mnogo ih je manje, rekao je voditelj odjela za antivirusna istraživanja u Kaspersky Labu Vjačeslav Zakorževski. Vjerojatno su se druge najaktivnije pokazale zemlje u kojima korisnici aktivno prate ruske internetske resurse.
Kada zlonamjerni softver zarazi računalo, on šifrira datoteke na njemu. Širi se putem web prometa s hakiranih internetskih resursa, među kojima su uglavnom bile web stranice federalnih ruskih medija, kao i računala i poslužitelji kijevskog metroa, ukrajinskog Ministarstva infrastrukture i Međunarodne zračne luke Odesa. Zabilježen je i neuspješan pokušaj napada na ruske banke iz prvih 20.
Da su Fontanka, Interfax i niz drugih publikacija napali Bad Rabbit jučer je izvijestila Grupa-IB, tvrtka specijalizirana za informacijsku sigurnost. Analiza virusnog koda je to pokazala Bad Rabbit povezan je s ransomwareom Not Petya, koji je u lipnju ove godine napali energetske, telekomunikacijske i financijske tvrtke u Ukrajini.
Napad se pripremao nekoliko dana i, unatoč razmjerima zaraze, ransomware je od žrtava napada tražio relativno male iznose - 0,05 bitcoina (oko 283 dolara ili 15.700 rubalja). Imate 48 sati da iskoristite. Nakon isteka tog roka iznos se povećava.
Stručnjaci Group-IB smatraju da hakeri najvjerojatnije nemaju namjeru zaraditi. Njihov vjerojatni cilj je testirati razinu zaštite kritičnih infrastrukturnih mreža poduzeća, državnih službi i privatnih tvrtki.
Lako je biti napadnut
Kada korisnik posjeti zaraženo mjesto, zlonamjerni kod šalje informacije o korisniku udaljenom poslužitelju. Zatim se pojavljuje skočni prozor u kojem se od vas traži da preuzmete ažuriranje za Flash Player, koje je lažno. Ako je korisnik odobrio operaciju "Instaliraj", datoteka će se preuzeti na računalo, koje će zauzvrat pokrenuti Win32/Filecoder.D koder u sustavu. Nadalje, pristup dokumentima bit će blokiran, a na ekranu će se pojaviti poruka o otkupnini.
Virus Bad Rabbit skenira mrežu u potrazi za otvorenim mrežnim resursima, nakon čega pokreće alat za prikupljanje vjerodajnica na zaraženom stroju, a to se “ponašanje” razlikuje od svojih prethodnika.
Stručnjaci međunarodnog proizvođača antivirusnog softvera Eset NOD 32 potvrdili su da je Bad Rabbit nova modifikacija virusa Petya, čiji je princip bio isti - virus je šifrirao informacije i tražio otkupninu u bitcoinima (iznos je bio usporediv s Loš zec - 300 dolara). Novi zlonamjerni softver popravlja greške u šifriranju datoteka. Kod koji se koristi u virusu dizajniran je za šifriranje logičkih pogona, vanjskih USB pogona i CD/DVD slika, kao i particija diska za podizanje sustava.
Govoreći o publici koju je napao Bad Rabbit, voditelj prodajne podrške ESET Russia Vitalij Zemski izjavio je da 65% napada koje su zaustavili antivirusni proizvodi tvrtke pada na Rusiju. Ostatak geografije novog virusa izgleda ovako:
Ukrajina - 12,2%
Bugarska - 10,2%
Turska - 6,4%
Japan - 3,8%
ostali - 2,4%
“Ransomware koristi dobro poznati softver otvorenog koda pod nazivom DiskCryptor za šifriranje diskova žrtve. Zaslon za zaključavanje poruke koji korisnik vidi gotovo je identičan zaključanim zaslonima Petya i NotPetya. Međutim, ovo je jedina sličnost koju smo dosad vidjeli između dva zlonamjerna softvera. U svim ostalim aspektima, BadRabbit je potpuno nova i jedinstvena vrsta ransomwarea”, kaže CTO tvrtke Check Point Software Technologies. Nikita Durov.
Kako se zaštititi od lošeg zeca?
Vlasnici drugih operativnih sustava osim Windowsa mogu odahnuti, jer novi ransomware virus samo čini ranjivim računala s ovom "osom".
Kako bi se zaštitili od mrežnog zlonamjernog softvera, stručnjaci preporučuju stvaranje datoteke C:\windows\infpub.dat na vašem računalu, uz postavljanje njezinih prava samo za čitanje - to je lako učiniti u odjeljku administracije. Tako ćete blokirati izvršavanje datoteke, a svi dokumenti koji dolaze izvana neće biti šifrirani čak i ako se pokaže da su zaraženi. Kako ne biste izgubili vrijedne podatke u slučaju zaraze virusom, napravite sigurnosnu kopiju (backup copy) sada. I, naravno, vrijedi zapamtiti da je plaćanje otkupnine zamka koja vam ne jamči otključavanje računala.
Podsjetimo, virus se u svibnju ove godine proširio na najmanje 150 zemalja svijeta. Šifrirao je informacije i tražio da plati otkupninu, prema različitim izvorima, od 300 do 600 dolara. Više od 200 tisuća korisnika patilo je od toga. Prema jednoj verziji, njegovi tvorci su kao osnovu uzeli američki NSA zlonamjerni softver Eternal Blue.
Alla Smirnova razgovarala je sa stručnjacima
Novi članci
- Primjer korištenja virtualne zvučne kartice ili štednje na Traktor Audio
- Detaljne upute za čišćenje registra
- Kako onemogućiti ili promijeniti uzorak na Androidu: najbolji načini i video upute
- RunDLL je naišao na pogrešku prilikom pokretanja
- Načini rješavanja greške RunDLL
- Što znači pogreška "0" na Tricolor TV-u?
- Pisanje i izvođenje skripti u PowerShell-u
- Preuzmite chrome udaljenu radnu površinu na računalo
- Uređivanje grupnih pravila u sustavu Windows Home
- R-Studio softver za oporavak datoteka
Popularni članci
- Nastavite korištenjem instalacijskog diska
- Assassin's Creed 2 se ruši prilikom pokretanja
- Windows se neće pokrenuti nakon instaliranja ažuriranja
- Bad Rabbit: još jedan ransomware virus
- Postoji li XP poslije XP Antivirusni program za xp
- TeamViewer daljinski pristup Pregledajte stavke izbornika
- Načini besplatnog dobivanja licence Koliko košta novi operativni sustav
- Instalacija Kaspersky Security Centera
- Kada će izaći ažuriranje za godišnjicu Windows 10
- Zašto softverski kvarovi uzrokuju probleme