Mi az a Bad Rabbit vírus, és hogyan védheti meg számítógépét. Bad Rabbit: egy újabb ransomware vírus
A Bad Rabbit néven ismert zsarolóprogram több tízezer számítógépet támadott meg Ukrajnában, Törökországban és Németországban. De a legtöbb támadás Oroszország ellen irányult. Milyen vírus ez, és hogyan védheti meg számítógépét, a „Kérdések és válaszok” szakaszban elmondjuk.
Ki szenvedett Oroszországban a Bad Rabbittól?
A Bad Rabbit ransomware október 24-én kezdett el terjedni. Tettének áldozatai között van az Interfax hírügynökség és a Fontanka.ru kiadvány is.
A kijevi metró és az odesszai repülőtér is megszenvedte a hackerek akcióit. Miután ismertté vált, hogy megpróbálták feltörni több orosz bank rendszerét a top 20-ból.
Minden jel szerint ez a vállalati hálózatok elleni célzott támadás, mivel az ExPetr vírus támadása során megfigyeltekhez hasonló módszereket alkalmaznak.
Az új vírus egyetlen követelést támaszt mindenkivel: 0,05 bitcoin váltságdíjat. Rubelben ez körülbelül 16 ezer rubel. Egyúttal tájékoztatja, hogy e követelmény teljesítésének ideje korlátozott. Mindenre, mindenre kicsivel több, mint 40 óra adatik. Továbbá a váltságdíj növekszik.
Mi ez a vírus és hogyan működik?
Rájöttél már, hogy ki áll a terjesztése mögött?
Nem sikerült kideríteni, hogy ki áll a támadás mögött. A nyomozás csak a domain névhez vezette a programozókat.
A víruskereső cégek szakemberei megjegyzik az új vírus és a Petya vírus hasonlóságát.
Az 1tv.ru szerint azonban a korábbi idei vírusokkal ellentétben a hackerek ezúttal egy egyszerűbb utat választottak.
„Úgy látszik, a bűnözők arra számítottak, hogy a legtöbb cégnél a felhasználók frissíteni fogják a számítógépüket a két támadás után, és úgy döntöttek, hogy kipróbálnak egy meglehetősen olcsó eszközt, a social engineering-et, hogy eleinte viszonylag csendesen megfertőzzék a felhasználókat” – mondta az anti- A Kaspersky Lab víruskutatási osztálya. Vjacseszlav Zakorzsevszkij.
Hogyan védheti meg számítógépét a vírusoktól?
Mindenképpen készítsen biztonsági másolatot a rendszerről. Ha Kaspersky-t, ESET-et, Dr.Web-et vagy más népszerű analógokat használ a védelemhez, azonnal frissítse az adatbázisokat. Ezenkívül a Kaspersky esetében engedélyeznie kell a „Tevékenységfigyelést” (Rendszerfigyelőt), és a 16295-ös frissítéssel aláírásokat kell alkalmaznia az ESET-re – tájékoztat a talkdevice.
Ha nem rendelkezik víruskereső programokkal, blokkolja a C:\Windows\infpub.dat és C:\Windows\cscc.dat fájlok végrehajtását. Ez a Csoportházirend-szerkesztőn vagy az AppLocker for Windows programon keresztül történik.
Tiltsa le a szolgáltatást - Windows Management Instrumentation (WMI). A jobb oldali gombbal adja meg a szolgáltatás tulajdonságait, és válassza ki a „Letiltva” módot az „Indítási típusban”.
A harmadik jelentős kibertámadás egy éven belül. Ezúttal egy vírus új néven Bad Rabbit és régi szokások - adattitkosítás és pénzzsarolás a feloldáshoz. És az érintett területen továbbra is Oroszország, Ukrajna és néhány más FÁK-ország van.
A Bad Rabbit a szokásos séma szerint cselekszik: adathalász e-mailt küld egy csatolt vírussal vagy linkkel. A támadók különösen a Microsoft technikai támogatásának adják ki magukat, és megkérhetik őket, hogy sürgősen nyissanak meg egy csatolt fájlt, vagy kövessenek egy hivatkozást. Van egy másik terjesztési útvonal is - egy hamis Adobe Flash Player frissítési ablak. A Bad Rabbit mindkét esetben ugyanúgy jár el, mint a nem is olyan régen szenzációs, titkosítja az áldozat adatait, és 0,05 bitcoint követel váltságdíjat, ami 2017. október 25-i árfolyamon körülbelül 280 dollár. Az új járvány áldozatai az Interfax, a Fontanka szentpétervári kiadása, a kijevi metró, az odesszai repülőtér és az ukrán kulturális minisztérium. Bizonyítékok vannak arra, hogy az új vírus több ismert orosz bankot is megpróbált megtámadni, de ez az ötlet kudarcot vallott. A szakértők a Bad Rabbit-ot a korábbi, idén rögzített jelentős támadásokhoz kötik. Ennek bizonyítéka a hasonló titkosító szoftver, a Diskcoder.D, és ez ugyanaz a Petya titkosító, csak kis mértékben módosítva.
Hogyan védekezhet a Bad Rabbit ellen?
A szakértők azt javasolják, hogy a Windows számítógépek tulajdonosai hozzák létre az "infpub.dat" fájlt, és helyezzék el a "C" meghajtó Windows mappájába. Ennek eredményeként az elérési útnak így kell kinéznie: C:\windows\infpub.dat. Ez megtehető egy normál jegyzettömb segítségével, de rendszergazdai jogokkal. Ehhez megtaláljuk a Jegyzettömb program hivatkozását, kattintson a jobb gombbal, és válassza a "Futtatás rendszergazdaként" lehetőséget.
Ezután csak el kell mentenie ezt a fájlt a C:\windows\ címre, vagyis a C meghajtó Windows mappájába. Fájlnév: infpub.dat, a "dat" a fájl kiterjesztése. Ne felejtse el lecserélni az alapértelmezett „txt” jegyzettömb kiterjesztést „dat”-ra. A fájl mentése után nyissa meg a Windows mappát, keresse meg a létrehozott infpub.dat fájlt, kattintson rá jobb gombbal, és válassza ki a "Tulajdonságok" menüpontot, ahol a legalul be kell jelölnie a "Csak olvasható" lehetőséget. Így még ha elkapja is a Bad Rabbit vírust, az nem tudja titkosítani az adatait.
Megelőző intézkedések
Ne felejtse el, hogy bizonyos szabályok betartásával megvédheti magát minden vírustól. Elcsépeltnek hangzik, de soha ne nyissa ki a leveleket, és még inkább azok mellékleteit, ha gyanúsnak tűnik a cím. Az adathalász e-mailek, vagyis az egyéb szolgáltatásoknak álcázás a fertőzés leggyakoribb módja. Vigyázz, mit nyitsz ki. Ha a csatolt fájl neve „Fontos dokumentum.docx_______.exe” a levélben, akkor ezt a fájlt semmiképpen ne nyissa meg. Ezenkívül biztonsági másolatot kell készítenie a fontos fájlokról. Például a fényképeket vagy munkadokumentumokat tartalmazó családi archívumok megkettőzhetők külső meghajtón vagy felhőtárhelyen. Ne felejtse el, milyen fontos a Windows licencelt verziójának használata és a frissítések rendszeres telepítése. A Microsoft rendszeresen ad ki biztonsági javításokat, és azoknak, akik telepítik azokat, nincs problémájuk az ilyen vírusokkal.
Idén október végét egy új vírus megjelenése jellemezte, amely aktívan támadta meg a vállalati és otthoni felhasználók számítógépeit. Az új vírus egy zsarolóvírus, a neve Bad Rabbit, ami azt jelenti, hogy rossz nyúl. A vírus segítségével több orosz tömegtájékoztatási eszköz honlapját is megtámadták. Később a vírust az ukrán vállalkozások információs hálózataiban is megtalálták. Ott megtámadták a metró információs hálózatait, különböző minisztériumokat, nemzetközi repülőtereket és így tovább. Kicsit később hasonló vírustámadást figyeltek meg Németországban és Törökországban is, bár aktivitása lényegesen alacsonyabb volt, mint Ukrajnában és Oroszországban.
A rosszindulatú vírus egy speciális beépülő modul, amely a számítógépbe való belépés után titkosítja a fájljait. Az információ titkosítása után a támadók megpróbálnak jutalmat kapni a felhasználóktól adataik visszafejtése miatt.
A vírus terjedése
Az ESET víruskereső szoftverfejlesztő laboratóriumának szakértői a vírus terjedési útjának algoritmusát elemezve arra a következtetésre jutottak, hogy egy módosított vírusról van szó, amely nemrégiben a Petya vírushoz hasonlóan terjedt el.
Az ESET laboratóriumi szakértői számításai szerint a rosszindulatú beépülő modulok az 1dnscontrol.com erőforrásról és az IP5.61.37.209 IP-címről kerültek terjesztésre. Számos további erőforrás is kapcsolódik ehhez a tartományhoz és IP-címhez, köztük a secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.
A szakemberek azt vizsgálták, hogy ezeknek az oldalaknak a tulajdonosai sokféle forrást regisztráltak, például olyanokat, amelyeken keresztül spam-levelek segítségével hamisított gyógyszereket próbálnak eladni. Az ESET szakemberei nem zárják ki, hogy ezeknek az erőforrásoknak a segítségével, spam és adathalászat segítségével hajtották végre a fő kibertámadást.
Hogyan fertőződik meg a Bad Rabbit vírus?
A számítógépes kriminalisztikai laboratórium szakemberei azt vizsgálták, hogyan került a vírus a felhasználók számítógépére. Kiderült, hogy a legtöbb esetben a Bad Rabbit ransomware vírust az Adobe Flash frissítéseként terjesztették. Vagyis a vírus nem használt fel semmilyen operációs rendszer sebezhetőségét, hanem maguk a felhasználók telepítették, akik ennek tudatában jóváhagyták a telepítést, arra gondolva, hogy az Adobe Flash bővítményt frissítik. Amikor egy vírus bejutott a helyi hálózatba, ellopja a bejelentkezési adatokat és jelszavakat a memóriából, és magától átterjed más számítógépes rendszerekre.
Hogyan zsarolnak ki pénzt a hackerek
Miután a ransomware vírus telepítésre került a számítógépre, titkosítja a tárolt információkat. Ezután a felhasználók egy üzenetet kapnak, amely jelzi, hogy az adataikhoz való hozzáféréshez be kell fizetniük a megadott sötét webhelyen. Ehhez először telepítenie kell egy speciális Tor böngészőt. A számítógép feloldásáért a támadók 0,05 bitcoint kérnek ki. Ma 5600 dollárért 1 Bitcoinért ez körülbelül 280 dollár a számítógép feloldásáért. A fizetés teljesítéséhez a felhasználó 48 óra időtartamot kap. Ezen időszak letelte után, ha a szükséges összeget nem utalták át a támadó elektronikus számlájára, az összeg növekszik.
Hogyan védekezhet a vírus ellen
- Annak érdekében, hogy megvédje magát a Bad Rabbit vírussal való fertőzéstől, blokkolja a hozzáférést az információs környezetből a fenti tartományokhoz.
- Otthoni felhasználóknak frissíteni kell a Windows aktuális verzióját, valamint a víruskereső programot. Ebben az esetben a rosszindulatú fájlt ransomware vírusként észleli, ami kizárja annak lehetőségét, hogy telepítse a számítógépre.
- Azok a felhasználók, akik a Windows operációs rendszer beépített vírusirtóját használják, már rendelkeznek védelemmel ezekkel a zsarolóvírusokkal szemben. A Windows Defender Antivirus alkalmazásban van megvalósítva.
- A Kaspersky Lab víruskereső programjának fejlesztői azt tanácsolják minden felhasználónak, hogy rendszeresen készítsen biztonsági másolatot adatairól. Emellett a szakértők azt javasolják, hogy blokkolják a c:\windows\infpub.dat, c:\WINDOWS\cscc.dat fájlok végrehajtását, és lehetőség szerint tiltsák le a WMI szolgáltatás használatát.
Következtetés
Minden számítógép-felhasználónak emlékeznie kell arra, hogy a hálózaton végzett munka során a kiberbiztonságnak kell az első helyen állnia. Ezért mindig ellenőriznie kell a csak ellenőrzött információforrások használatát, és óvatosan kell használnia az e-maileket és a közösségi hálózatokat. Ezeken az erőforrásokon keresztül terjednek leggyakrabban a különféle vírusok. Az információs környezetben az alapvető viselkedési szabályok kiküszöbölik a vírustámadás során felmerülő problémákat.
Tegnap, 2017. október 24-én a nagy orosz média, valamint számos ukrán kormányhivatal, ismeretlen behatolók. Az áldozatok között volt az Interfax, a Fontanka és még legalább egy meg nem nevezett online kiadvány. A problémákról a média nyomán az odesszai nemzetközi repülőtér, a kijevi metró és az ukrán infrastrukturális minisztérium is beszámolt. Az IB-csoport elemzői szerint a bűnözők banki infrastruktúrákat is megpróbáltak megtámadni, de ezek a kísérletek nem jártak sikerrel. Az ESET szakemberei viszont azt állítják, hogy a támadások bulgáriai, törökországi és japán felhasználókat érintettek.
Mint kiderült, a cégek és kormányzati szervek munkájában nem a hatalmas DDoS támadások okoztak fennakadásokat, hanem a Bad Rabbit névre keresztelt zsarolóprogram (egyes szakértők inkább szóköz nélkül írják a BadRabbit szót).
Tegnap keveset lehetett tudni a kártevőről és annak működéséről: a hírek szerint a zsarolóprogram 0,05 bitcoint követelt, a Group-IB szakértői szerint pedig már több napja készült a támadás. Tehát két JS-szkriptet találtak a támadók webhelyén, és a szerverről származó információk alapján az egyiket 2017. október 19-én frissítették.
Noha már egy nap sem telt el a támadások kezdete óta, a világ szinte valamennyi vezető információbiztonsági vállalatának szakértői már elemzik a zsarolóvírust. Szóval, mi az a Bad Rabbit, és számíthatunk-e új „ransomware-járványra”, mint a WannaCry vagy a NotPetya?
Hogyan tudta a Bad Rabbit megzavarni a mainstream médiát, ha a Flash hamis frissítéseiről volt szó? Alapján ESET , Emsisoftés Fox IT, a fertőzés után a kártevő a Mimikatz segédprogramot használta a jelszavak LSASS-ból való kinyerésére, valamint a leggyakoribb bejelentkezési és jelszavak listája is volt. A kártevő mindezt arra használta, hogy SMB-n és WebDAV-on keresztül a fertőzött eszközzel azonos hálózaton lévő többi szerverre, munkaállomásra is terjedjen. A fent felsorolt cégek szakértői és a Cisco Talos munkatársai ugyanakkor úgy vélik, hogy ebben az esetben nem olyan speciális szolgáltatásoktól loptak el olyan eszközt, amely az SMB hiányosságait használja fel. Hadd emlékeztesselek arra, hogy a WannaCry és a NotPetya vírusokat ezzel a konkrét exploittal terjesztették.
A szakértőknek azonban sikerült találniuk néhány hasonlóságot Bad Rabbit és Petya (NotPetya) között. Tehát a ransomware nem csak titkosítja a felhasználói fájlokat a nyílt forráskódú DiskCryptor segítségével, hanem módosítja az MBR-t (Master Boot Record), majd újraindítja a számítógépet, és egy váltságdíj üzenetet jelenít meg a képernyőn.
Bár a támadó követelési üzenete majdnem megegyezik a NotPetya kezelőinek üzenetével, a szakértők kissé eltérnek a Bad Rabbit és a NotPetya kapcsolatáról. Így az Intezer elemzői kiszámították, hogy a rosszindulatú program forráskódja
A Kaspersky Lab szerint a ransomware vírusok harmadik hullámának hírnöke lehet. Az első kettő a szenzációs WannaCry és Petya (más néven NotPetya) volt. Kiberbiztonsági szakértők beszéltek a MIR 24-nek egy új hálózati rosszindulatú program megjelenéséről és arról, hogyan lehet védekezni az erőteljes támadása ellen.
A Bad Rabbit támadás áldozatainak többsége Oroszországban van. Ukrajna, Törökország és Németország területén jóval kevesebben vannak – mondta a Kaspersky Lab víruskereső kutatási osztályának vezetője. Vjacseszlav Zakorzsevszkij. Valószínűleg azok az országok bizonyultak a második legaktívabbnak, ahol a felhasználók aktívan követik az orosz internetes forrásokat.
Amikor a rosszindulatú program megfertőz egy számítógépet, titkosítja a rajta lévő fájlokat. Webes forgalom útján terjed feltört internetes forrásokból, amelyek között főként a szövetségi orosz média weboldalai, valamint a kijevi metró, az ukrán infrastrukturális minisztérium és az odesszai nemzetközi repülőtér számítógépei és szerverei voltak. Egy sikertelen kísérletet is rögzítettek az orosz bankok megtámadására a legjobb 20 közül.
Arról, hogy a Fontankát, az Interfaxot és számos más kiadványt megtámadta a Bad Rabbit, tegnap az információbiztonságra szakosodott Group-IB számolt be. A víruskód elemzése azt mutatta A Bad Rabbit a Not Petya ransomware-hez kapcsolódik, amely júniusban ebben az évben megtámadták az ukrajnai energetikai, távközlési és pénzügyi vállalatokat.
A támadásra több napig készültek, és a fertőzés mértéke ellenére a ransomware viszonylag kis összeget követelt a támadás áldozataitól - 0,05 bitcoint (körülbelül 283 dollárt vagy 15 700 rubelt). 48 órája van a beváltásra. Ezen időszak lejárta után az összeg növekszik.
Az IB-csoport szakemberei úgy vélik, hogy a hackereknek nagy valószínűséggel nem áll szándékukban pénzt keresni. Valószínű céljuk a vállalatok, kormányzati szervek és magánvállalatok kritikus infrastruktúra-hálózatainak védelmi szintjének tesztelése.
Könnyű megtámadni
Amikor egy felhasználó felkeres egy fertőzött webhelyet, a rosszindulatú kód információkat küld a felhasználóról egy távoli kiszolgálónak. Ezután megjelenik egy felugró ablak, amely arra kéri, hogy töltsön le egy frissítést a Flash Playerhez, amely hamis. Ha a felhasználó jóváhagyta az "Install" műveletet, egy fájl letöltésre kerül a számítógépre, amely viszont elindítja a Win32/Filecoder.D kódolót a rendszerben. Ezenkívül a dokumentumokhoz való hozzáférés blokkolva lesz, és a képernyőn egy váltságdíj üzenet jelenik meg.
A Bad Rabbit vírus átvizsgálja a hálózatot nyílt hálózati erőforrások után, ezt követően hitelesítő adatgyűjtő eszközt indít a fertőzött gépen, és ez a „viselkedés” eltér elődeitől.
Az Eset NOD 32 víruskereső szoftver nemzetközi fejlesztőjének szakemberei megerősítették, hogy a Bad Rabbit a Petya vírus új módosítása, amelynek elve ugyanaz volt - a vírus titkosította az információkat, és váltságdíjat követelt bitcoinban (az összeg hasonló volt Bad Rabbit - 300 dollár). Az új kártevő javítja a fájltitkosítási hibákat. A vírusban használt kód logikai meghajtók, külső USB-meghajtók és CD/DVD lemezképek, valamint rendszerindító lemezpartíciók titkosítására szolgál.
A Bad Rabbit, az ESET Oroszország értékesítési támogatási részlegének vezetője által megtámadt közönségről szólva Vitalij Zemszkij kijelentette, hogy a vállalat víruskereső termékei által megállított támadások 65%-a Oroszországot érinti. Az új vírus többi földrajza így néz ki:
Ukrajna - 12,2%
Bulgária - 10,2%
Törökország - 6,4%
Japán - 3,8%
mások - 2,4%
„A zsarolóprogram egy jól ismert, nyílt forráskódú DiskCryptor nevű szoftvert használ az áldozat meghajtóinak titkosításához. A felhasználó által látható zárolási üzenet képernyő szinte megegyezik a Petya és NotPetya zárolási képernyővel. Azonban ez az egyetlen hasonlóság, amit eddig láttunk a két rosszindulatú program között. Minden más szempontból a BadRabbit egy teljesen új és egyedülálló típusú zsarolóvírus” – mondja a Check Point Software Technologies műszaki igazgatója. Nyikita Durov.
Hogyan védekezhet a Bad Rabbit ellen?
A Windowson kívüli operációs rendszerek tulajdonosai fellélegezhetnek, az új ransomware vírus ugyanis csak az ezzel a „tengellyel” rendelkező számítógépeket teszi sebezhetővé.
A hálózati kártevők elleni védelem érdekében a szakértők azt javasolják, hogy a C:\windows\infpub.dat fájlt hozzuk létre a számítógépünkön, miközben állítsuk be a csak olvasási jogosultságokat – ez az adminisztrációs részben egyszerűen megtehető. Ezzel blokkolja a fájl végrehajtását, és az összes kívülről érkező dokumentum akkor sem lesz titkosítva, ha kiderül, hogy fertőzött. Annak érdekében, hogy ne veszítsen értékes adatokat vírusfertőzés esetén, készítsen biztonsági másolatot (biztonsági másolatot) most. És persze érdemes észben tartani, hogy a váltságdíj fizetése olyan csapda, amely nem garantálja a számítógép feloldását.
Emlékezzünk vissza, hogy a vírus idén májusban a világ legalább 150 országában terjedt el. Titkosította az információt, és váltságdíjat követelt, különböző források szerint 300-600 dollár között. Több mint 200 ezer felhasználó szenvedett tőle. Az egyik verzió szerint készítői az amerikai NSA Eternal Blue malware-jét vették alapul.
Alla Smirnova szakértőkkel beszélt
Új cikkek
- Hogyan lehet fájlokat letölteni a turbobitről
- Programok keresztrejtvények összeállításához
- Mi az a Spotify és hogyan kell használni Mely országokban működik a spotify?
- Messze nem tudunk mindent: milyen közösségi hálózatok léteznek az interneten
- "Samsung Galaxy S7 Edge": leírás, műszaki adatok és vélemények Samsung galaxy s7 telefon méretei
- Minden, amit a Microsoft Surface Phone-ról tudunk A Surface Phone újdonságai
- UMPC Samsung Q1 - hét hüvelyk Windows XP Tablet Edition alatt Teljesítmény, működési idő
- WristWhirl: egy okosóra prototípusa, amelyet gesztusokkal vezérel Gesztusok Androidra
- Hogyan oszthatja meg tartózkodási helyét más felhasználókkal Widget-barátok a google térképen, merre járt
- Hogyan cserélje ki saját maga a MacBook Air akkumulátorát
Népszerű cikkek
- Hogyan lehet elrejteni az összes VK-hírét más felhasználók elől?
- A hangulatjelek jelentése az interneten
- Hogyan állítsunk be helyesen jelszót a számítógépen
- Az iPhone gyorsítótárának törlése (szemét az alkalmazásokban és a Safari böngészőben)
- Mátrixszorzás számmal: példák, tulajdonságok, jelentés Hogyan szorozható egy mátrix számmal
- Lítium polimer akkumulátorok
- Milyen sorrendben hajtson végre logikai műveleteket
- Hogyan találja meg az egyensúlyt a Megafonon - Minden a polcokon
- Miért nem működik a GPS Androidon, és hogyan kell beállítani?
- Nem sikerült telepíteni a programot Windows rendszeren - hibák ...