Kas ir Bad Rabbit vīruss un kā aizsargāt datoru. Bad Rabbit: vēl viens izspiedējvīruss

Izpirkuma programmatūra, kas pazīstama kā Bad Rabbit, ir uzbrukusi desmitiem tūkstošu datoru Ukrainā, Turcijā un Vācijā. Taču lielākā daļa uzbrukumu bija vērsti pret Krieviju. Kas tas ir par vīrusu un kā aizsargāt savu datoru, mēs pastāstīsim mūsu sadaļā "Jautājumi un atbildes".

Kurš Krievijā cieta no Bad Rabbit?

Bad Rabbit izpirkuma programmatūra sāka izplatīties 24. oktobrī. Starp viņa darbībām cietušajiem ir ziņu aģentūra Interfax un izdevums Fontanka.ru.

No hakeru darbībām cieta arī Kijevas metro un Odesas lidosta. Pēc tam, kad kļuva zināms par mēģinājumu uzlauzt vairāku Krievijas banku sistēmu no top 20.

Pēc visām pazīmēm tas ir mērķtiecīgs uzbrukums korporatīvajiem tīkliem, jo ​​tiek izmantotas metodes, kas līdzīgas ExPetr vīrusa uzbrukuma laikā novērotajām metodēm.

Jaunais vīruss visiem pieprasa vienu: izpirkuma maksu 0,05 bitkoinu. Runājot par rubļiem, tas ir aptuveni 16 tūkstoši rubļu. Vienlaikus viņš informē, ka laiks šīs prasības izpildei ir ierobežots. Visam par visu ir dotas nedaudz vairāk par 40 stundām. Turklāt pieaugs izpirkuma maksa.

Kas ir šis vīruss un kā tas darbojas?

Vai esat jau sapratuši, kas stāv aiz tā izplatīšanas?

Kas stāv aiz šī uzbrukuma, noskaidrot nav izdevies. Izmeklēšana programmētājus noveda tikai pie domēna vārda.

Antivīrusu kompāniju speciālisti atzīmē jaunā vīrusa līdzību ar Petya vīrusu.

Taču, atšķirībā no iepriekšējiem šī gada vīrusiem, šoreiz hakeri nolēma iet vienkāršāku ceļu, vēsta 1tv.ru.

"Acīmredzot noziedznieki gaidīja, ka lielākajā daļā uzņēmumu lietotāji pēc šiem diviem uzbrukumiem atjauninās savus datorus, un nolēma izmēģināt diezgan lētu rīku - sociālo inženieriju, lai sākumā inficētu lietotājus salīdzinoši klusi," sacīja anti- vīrusu izpētes nodaļa Kaspersky Lab. Vjačeslavs Zakorževskis.

Kā pasargāt datoru no vīrusiem?

Noteikti dublējiet savu sistēmu. Ja aizsardzībai izmantojat Kaspersky, ESET, Dr.Web vai citus populārus analogus, nekavējoties jāatjaunina datu bāzes. Tāpat Kaspersky ir jāiespējo "Activity Monitoring" (System Watcher) un jāpiemēro paraksti ar atjauninājumu 16295 ESET, informē talkdevice.

Ja jums nav pretvīrusu programmu, bloķējiet failu C:\Windows\infpub.dat un C:\Windows\cscc.dat izpildi. Tas tiek darīts, izmantojot redaktoru. grupas politikas vai AppLocker operētājsistēmai Windows.

Atspējojiet pakalpojumu - Windows Management Instrumentation (WMI). Izmantojot labo pogu, ievadiet pakalpojuma rekvizītus un sadaļā "Startēšanas veids" atlasiet režīmu "Atspējots".

Trešais lielais kiberuzbrukums gada laikā. Šoreiz vīruss ar jaunu nosaukumu Bad Rabbit un veciem ieradumiem - datu šifrēšana un naudas izspiešana par atbloķēšanu. Un skartajā zonā joprojām ir Krievija, Ukraina un dažas citas NVS valstis.

Bad Rabbit darbojas saskaņā ar parasto shēmu: tas nosūta pikšķerēšanas e-pastu ar pievienotu vīrusu vai saiti. Jo īpaši uzbrucēji var uzdoties par Microsoft tehnisko atbalstu un lūgt viņiem steidzami atvērt pievienoto failu vai sekot saitei. Ir vēl viens izplatīšanas ceļš - viltots Adobe Flash Player atjaunināšanas logs. Abos gadījumos Bad Rabbit darbojas tāpat kā sensacionālais pirms neilga laika, tas šifrē upura datus un pieprasa izpirkuma maksu 0,05 bitkoinu apmērā, kas ir aptuveni 280 USD pēc valūtas maiņas kursa 2017. gada 25. oktobrī. Jaunās epidēmijas upuri bija Interfax, Sanktpēterburgas Fontanka izdevums, Kijevas metro, Odesas lidosta un Ukrainas Kultūras ministrija. Ir pierādījumi, ka jaunais vīruss mēģināja uzbrukt vairākām pazīstamām Krievijas bankām, taču šī ideja cieta neveiksmi. Eksperti saista Bad Rabbit ar iepriekšējiem lielajiem uzbrukumiem, kas reģistrēti šogad. Pierādījums tam ir līdzīga šifrēšanas programmatūra Diskcoder.D, un tas ir tas pats Petya šifrētājs, tikai nedaudz pārveidots.

Kā pasargāt sevi no Bad Rabbit?

Eksperti iesaka īpašniekus Windows datori izveidojiet failu "infpub.dat" un ievietojiet to Windows mape uz "C" diska. Rezultātā ceļam vajadzētu izskatīties šādi: C:\windows\infpub.dat. To var izdarīt, izmantojot parasto piezīmju grāmatiņu, bet ar administratora tiesībām. Lai to izdarītu, mēs atrodam saiti uz programmu Notepad, noklikšķiniet uz ar peles labo pogu noklikšķiniet peli un atlasiet "Palaist kā administratoram".

Pēc tam jums vienkārši jāsaglabā šis fails adresē C:\windows\, tas ir, C diska Windows mapē. Faila nosaukums: infpub.dat, un faila paplašinājums ir "dat". Neaizmirstiet aizstāt noklusējuma notepad paplašinājumu "txt" ar "dat". Pēc faila saglabāšanas atveriet Windows mapi, atrodiet izveidoto infpub.dat failu, ar peles labo pogu noklikšķiniet uz tā un izvēlieties "Properties", kur pašā apakšā ir jāatzīmē "Tikai lasāms". Tādējādi, pat ja jūs noķersiet Bad Rabbit vīrusu, tas nevarēs šifrēt jūsu datus.

Preventīvie pasākumi

Neaizmirstiet, ka jūs varat pasargāt sevi no jebkura vīrusa, vienkārši ievērojot noteiktus noteikumus. Tas izklausās banāli, taču nekad neatveriet vēstules un vēl jo vairāk to pielikumus, ja adrese jums šķiet aizdomīga. Pikšķerēšanas e-pasta ziņojumi, tas ir, maskēšanās par citiem pakalpojumiem, ir visizplatītākā inficēšanās metode. Esiet uzmanīgi, ko atverat. Ja vēstulē pievienotais fails ir nosaukts “Svarīgs dokuments.docx_______.exe”, tad šo failu noteikti nevajadzētu atvērt. Turklāt jums ir jābūt svarīgu failu rezerves kopijām. Piemēram, ģimenes arhīvu ar fotogrāfijām vai darba dokumentiem var dublēt ārējais disks vai mākoņkrātuve. Neaizmirstiet, cik svarīgi ir izmantot licencētu Windows versiju un regulāri instalēt atjauninājumus. Drošības ielāpus Microsoft izlaiž regulāri, un tiem, kas tos instalē, ar šādiem vīrusiem nav problēmu.

Šī gada oktobra beigas iezīmējās ar jauna vīrusa parādīšanos, kas aktīvi uzbruka korporatīvo un mājas lietotāju datoriem. Jaunais vīruss ir izspiedējvīruss, un tā nosaukums ir Bad Rabbit, kas nozīmē slikts trusis. Ar šī vīrusa palīdzību tika uzbruktas vairāku Krievijas masu mediju mājaslapām. Vēlāk vīruss tika atrasts arī Ukrainas uzņēmumu informācijas tīklos. Tur tika uzbrukts metro informācijas tīkliem, dažādām ministrijām, starptautiskajām lidostām un tā tālāk. Nedaudz vēlāk līdzīgs vīrusa uzbrukums tika novērots Vācijā un Turcijā, lai gan tā aktivitāte bija ievērojami zemāka nekā Ukrainā un Krievijā.

Ļaunprātīgs vīruss ir īpašs spraudnis, kas pēc iekļūšanas datorā šifrē tā failus. Kad informācija ir šifrēta, uzbrucēji mēģina saņemt atlīdzību no lietotājiem par viņu datu atšifrēšanu.

Vīrusa izplatība

ESET antivīrusu izstrādes laboratorijas eksperti analizēja vīrusa izplatīšanās ceļa algoritmu un nonāca pie secinājuma, ka tas ir modificēts vīruss, kas pirms neilga laika izplatījās līdzīgi kā Petya vīruss.

ESET laboratorijas eksperti aprēķinājuši, ka ļaunprātīgi spraudņi izplatīti no resursa 1dnscontrol.com un IP adreses IP5.61.37.209. Ar šo domēnu un IP ir saistīti arī vairāki citi resursi, tostarp secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.

Speciālisti izpētīja, ka šo vietņu īpašnieki reģistrējuši daudz dažādu resursu, piemēram, tādus, caur kuriem ar surogātpasta sūtījumu palīdzību cenšas pārdot viltotus medikamentus. ESET speciālisti neizslēdz, ka tieši ar šo resursu palīdzību, izmantojot surogātpastu un pikšķerēšanu, tika veikts galvenais kiberuzbrukums.

Kā Bad Rabbit vīruss inficējas?

Datoru kriminālistikas laboratorijas speciālisti pētīja, kā vīruss nokļuva lietotāju datoros. Tika konstatēts, ka vairumā gadījumu Bad Rabbit ransomware vīruss tika izplatīts kā Adobe Flash atjauninājums. Proti, vīruss neizmantoja nekādas operētājsistēmas ievainojamības, bet gan to instalēja paši lietotāji, kuri, to nezinot, apstiprināja tā uzstādīšanu, domājot, ka atjaunina Adobe Flash spraudni. Kad vīruss iekļuva lokālais tīkls, tas nozaga pieteikumvārdus un paroles no atmiņas un neatkarīgi izplatījās citās datorsistēmās.

Kā hakeri izspiež naudu

Pēc izspiedējvīrusa instalēšanas datorā tas šifrē saglabāto informāciju. Pēc tam lietotāji saņem ziņojumu, kurā norādīts, ka, lai piekļūtu saviem datiem, viņiem ir jāveic maksājums norādītajā tumšajā vietnē. Lai to izdarītu, vispirms jāinstalē īpaša Tor pārlūkprogramma. Par to, ka dators tiks atbloķēts, uzbrucēji izspiež samaksu 0,05 bitkoinu apmērā. Šodien par 1 Bitcoin cenu 5600 $, tas ir aptuveni 280 $ par datora atbloķēšanu. Lai veiktu maksājumu, lietotājam tiek dots laika periods, kas vienāds ar 48 stundām. Pēc šī perioda, ja nepieciešamā summa nav pārskaitīta uz uzbrucēja elektronisko kontu, summa palielinās.

Kā pasargāt sevi no vīrusa

1. Lai pasargātu sevi no inficēšanās ar Bad Rabbit vīrusu, jums vajadzētu bloķēt piekļuvi no informācijas vides iepriekšminētajiem domēniem.
2. Mājas lietotājiem ir jāatjaunina pašreizējais Windows versijas kā arī pretvīrusu programma. Šādā gadījumā ļaunprātīgais fails tiks atklāts kā izspiedējvīruss, kas izslēgs tā instalēšanas iespēju datorā.
3. Tiem lietotājiem, kuri izmanto Windows operētājsistēmas iebūvēto antivīrusu, jau ir aizsardzība pret šīm izspiedējvīrusu programmām. Tas tiek ieviests Windows lietojumprogramma Defender Antivirus.
4. Kaspersky Lab pretvīrusu programmas izstrādātāji iesaka visiem lietotājiem periodiski dublēt savus datus. Turklāt eksperti iesaka bloķēt failu c:\windows\infpub.dat, c:\WINDOWS\cscc.dat izpildi un, ja iespējams, atspējot WMI pakalpojuma izmantošanu.

Secinājums

Katram datora lietotājam jāatceras, ka, strādājot tīklā, kiberdrošībai jābūt pirmajā vietā. Tāpēc vienmēr jāuzrauga tikai pārbaudītu informācijas resursu izmantošana un rūpīgi jāizmanto e-pasts un sociālie tīkli. Tieši caur šiem resursiem visbiežāk tiek veikta dažādu vīrusu izplatība. Elementāri uzvedības noteikumi informācijas vidē novērsīs problēmas, kas rodas vīrusu uzbrukuma laikā.

Vakar, 2017. gada 24. oktobrī, lielākie Krievijas mediji, kā arī vairākas Ukrainas valdības aģentūras, nezināmi iebrucēji. Starp upuriem bija Interfax, Fontanka un vēl vismaz viens vārdā nenosaukts tiešsaistes izdevums. Sekojot medijiem, par problēmām ziņoja arī Odesas starptautiskā lidosta, Kijevas metro un Ukrainas Infrastruktūras ministrija. Saskaņā ar Group-IB analītiķu teikto, noziedznieki mēģināja uzbrukt arī banku infrastruktūrām, taču šie mēģinājumi bija nesekmīgi. Savukārt ESET speciālisti apgalvo, ka uzbrukumi skāruši lietotājus no Bulgārijas, Turcijas un Japānas.

Kā izrādījās, traucējumus uzņēmumu un valsts aģentūru darbā izraisīja nevis masveida DDoS uzbrukumi, bet gan izspiedējvīruss, kas tiek dēvēts par Bad Rabbit (daži eksperti dod priekšroku BadRabbit rakstīt bez atstarpes).

Par ļaunprogrammatūru un tās mehānismiem vakar bija maz zināms: tika ziņots, ka izspiedējvīruss pieprasa 0,05 bitkoinu izpirkuma maksu, un Group-IB eksperti norādīja, ka uzbrukumam tika gatavots vairākas dienas. Tātad uzbrucēju vietnē tika atrasti divi JS skripti, un, spriežot pēc informācijas no servera, viens no tiem tika atjaunināts 2017. gada 19. oktobrī.

Tagad, lai gan kopš uzbrukumu sākuma ir pagājusi mazāk nekā diena, eksperti no gandrīz visām vadošajām informācijas drošības kompānijām pasaulē jau ir analizējuši izspiedējvīrusu. Tātad, kas ir Bad Rabbit, un vai mums vajadzētu sagaidīt jaunu "izpirkuma programmatūras epidēmiju", piemēram, WannaCry vai NotPetya?

Kā Bad Rabbit izdevās izjaukt galvenos plašsaziņas līdzekļus, ja tie bija viltoti Flash atjauninājumi? Saskaņā ar ESET , Emsisoft un Lapsa IT, pēc inficēšanās ļaunprogrammatūra izmantoja utilītu Mimikatz, lai izvilktu paroles no LSASS, un tai bija arī visbiežāk sastopamo pieteikumvārdu un paroļu saraksts. Ļaunprātīgā programmatūra to visu izmantoja, lai, izmantojot SMB un WebDAV, izplatītos uz citiem serveriem un darbstacijām, kas atrodas tajā pašā tīklā, kur inficētā ierīce. Tajā pašā laikā iepriekš uzskaitīto uzņēmumu eksperti un Cisco Talos darbinieki uzskata, ka šajā gadījumā nav nozagts rīks no specdienestiem, kas izmanto nepilnības SMB. Atgādināšu, ka WannaCry un NotPetya vīrusi tika izplatīti, izmantojot šo konkrēto izlietojumu.

Tomēr ekspertiem joprojām izdevās atrast dažas līdzības starp Bad Rabbit un Petya (NotPetya). Tādējādi izpirkuma programmatūra ne tikai šifrē lietotāju failus, izmantojot atvērtā pirmkoda DiskCryptor, bet arī modificē MBR (Master Boot Record), pēc tam tā restartē datoru un ekrānā parāda izpirkuma maksu.

Lai gan vēstījums ar uzbrucēju prasībām ir gandrīz identisks NotPetya operatoru ziņai, ekspertu viedokļi par Bad Rabbit un NotPetya saistību nedaudz atšķiras. Tādējādi Intezer analītiķi to aprēķināja avotsļaunprogrammatūra

Tas var būt trešā viļņa izspiedējvīrusu priekšvēstnesis, norāda Kaspersky Lab. Pirmie divi bija sensacionālie WannaCry un Petya (aka NotPetya). Kiberdrošības eksperti runāja ar MIR 24 par jaunas tīkla ļaunprogrammatūras parādīšanos un to, kā aizsargāties pret tās jaudīgo uzbrukumu.

Lielākā daļa Bad Rabbit uzbrukuma upuru ir Krievijā. Ukrainas, Turcijas un Vācijas teritorijā to ir daudz mazāk, sacīja Kaspersky Lab pretvīrusu pētījumu nodaļas vadītājs. Vjačeslavs Zakorževskis. Iespējams, valstis, kurās lietotāji aktīvi seko Krievijas interneta resursiem, izrādījās otrās aktīvākās.

Kad ļaunprātīga programmatūra inficē datoru, tā šifrē tajā esošos failus. Tas izplatās, izmantojot tīmekļa trafiku no uzlauztiem interneta resursiem, kuru vidū galvenokārt bija Krievijas federālo mediju vietnes, kā arī Kijevas metro, Ukrainas Infrastruktūras ministrijas un Odesas Starptautiskās lidostas datori un serveri. Tāpat fiksēts neveiksmīgs mēģinājums uzbrukt Krievijas bankām no labāko divdesmitnieka.

Par to, ka Bad Rabbit uzbruka Fontanka, Interfax un vairākām citām publikācijām, vakar ziņoja uzņēmums Group-IB, kas specializējas informācijas drošība. Vīrusa koda analīze to parādīja Bad Rabbit ir saistīts ar Not Petya ransomware, kas jūnijāšogad uzbruka enerģētikas, telekomunikāciju un finanšu uzņēmumiem Ukrainā.

Uzbrukums tika gatavots vairākas dienas un, neskatoties uz infekcijas apmēriem, izspiedējvīruss no uzbrukuma upuriem pieprasīja salīdzinoši nelielas summas - 0,05 bitkoīnus (tas ir aptuveni 283 dolāri jeb 15 700 rubļu). Jums ir 48 stundas, lai izpirktu. Pēc šī perioda beigām summa palielinās.

Grupas-IB speciālisti uzskata, ka, visticamāk, hakeriem nav nodoma pelnīt. To iespējamais mērķis ir pārbaudīt uzņēmumu, valdības departamentu un privāto uzņēmumu kritiskās infrastruktūras tīklu aizsardzības līmeni.

Ir viegli tikt uzbruktam

Kad lietotājs apmeklē inficētu vietni, ļaunprātīgais kods nosūta informāciju par lietotāju uz attālo serveri. Pēc tam tiek parādīts uznirstošais logs, kurā tiek lūgts lejupielādēt Flash Player atjauninājumu, kas ir viltots. Ja lietotājs apstiprināja darbību "Instalēt", datorā tiks lejupielādēts fails, kas savukārt palaiž sistēmā Win32/Filecoder.D kodētāju. Turklāt piekļuve dokumentiem tiks bloķēta, ekrānā parādīsies izpirkuma ziņojums.

Bad Rabbit vīruss skenē tīklu, lai atrastu atvērtā tīkla resursus, pēc tam inficētajā mašīnā palaiž akreditācijas datu vākšanas rīku, un šī “uzvedība” atšķiras no tā priekšgājējiem.

Starptautiskā pretvīrusu programmatūras izstrādātāja Eset NOD 32 speciālisti apstiprināja, ka Bad Rabbit ir jauna modifikācija. Petijas vīruss, kura princips bija vienāds - vīruss šifrēja informāciju un pieprasīja izpirkuma maksu bitkoinos (summa bija salīdzināma ar Bad Rabbit - 300 USD). Jaunā ļaunprogrammatūra novērš kļūdas failu šifrēšanā. Vīrusā izmantotais kods ir paredzēts loģisko disku, ārējo USB disku un CD/DVD attēlu, kā arī sāknēšanas disku nodalījumu šifrēšanai.

Runājot par auditoriju, kurai uzbruka Bad Rabbit, ESET Russia pārdošanas atbalsta vadītājs Vitālijs Zemskis norādīja, ka 65% no uzņēmuma pretvīrusu produktu apturētajiem uzbrukumiem attiecas uz Krieviju. Pārējā jaunā vīrusa ģeogrāfija izskatās šādi:

Ukraina - 12,2%

Bulgārija - 10,2%

Turcija - 6,4%

Japāna - 3,8%

citi - 2,4%

"Izpirkuma programmatūra izmanto zināmu programmatūra atvērtā koda ar nosaukumu DiskCryptor, lai šifrētu upura diskus. Lietotājam redzamais bloķēšanas ziņojuma ekrāns ir gandrīz identisks Petya un NotPetya bloķēšanas ekrāniem. Tomēr šī ir vienīgā līdzība, ko līdz šim esam redzējuši starp abām ļaunprātīgām programmām. Visos citos aspektos BadRabbit ir pilnīgi jauns un unikāls izpirkuma programmatūras veids,” saka Check Point Software Technologies CTO. Ņikita Durovs.

Kā pasargāt sevi no Bad Rabbit?

Īpašnieki operētājsistēmas, izņemot Windows, var atviegloti nopūsties, jo jaunais izspiedējvīruss tikai padara datorus ar šo “asi” ievainojamus.

Lai aizsargātos pret tīkla ļaunprogrammatūru, speciālisti iesaka datorā izveidot failu C:\windows\infpub.dat, vienlaikus iestatot tā tikai lasīšanas tiesības – to ir viegli izdarīt administrēšanas sadaļā. Tādā veidā jūs bloķēsit faila izpildi, un visi dokumenti, kas nāk no ārpuses, netiks šifrēti pat tad, ja tie izrādīsies inficēti. Lai inficēšanās ar vīrusu gadījumā nepazaudētu vērtīgus datus, izveidojiet dublējumu (rezerves kopiju) tūlīt. Un, protams, ir vērts atcerēties, ka izpirkuma maksas maksāšana ir slazds, kas negarantē datora atbloķēšanu.

Atgādinām, ka vīruss šī gada maijā izplatījās vismaz 150 valstīs visā pasaulē. Viņš šifrēja informāciju un pieprasīja samaksāt izpirkuma maksu, saskaņā ar dažādiem avotiem, no 300 līdz 600 dolāriem. No tā cieta vairāk nekā 200 tūkstoši lietotāju. Saskaņā ar vienu versiju, tās veidotāji par pamatu ņēma ASV NSA ļaunprogrammatūru Eternal Blue.

Alla Smirnova runāja ar ekspertiem