Czym jest wirus Bad Rabbit i jak chronić swój komputer. Bad Rabbit: kolejny wirus ransomware
Oprogramowanie ransomware znane jako Bad Rabbit zaatakowało dziesiątki tysięcy komputerów na Ukrainie, w Turcji i Niemczech. Ale większość ataków była skierowana przeciwko Rosji. Co to za wirus i jak chronić swój komputer, mówimy w naszej sekcji „Pytanie i odpowiedź”.
Kto cierpiał w Rosji z powodu Bad Rabbita?
Ransomware Bad Rabbit zaczęło się rozprzestrzeniać 24 października. Wśród ofiar jego działań są agencja informacyjna Interfax i publikacja Fontanka.ru.
Kijowskie metro i lotnisko w Odessie również ucierpiały na skutek działań hakerów. Po tym, jak dowiedział się o próbie włamania się do systemu kilku rosyjskich banków z pierwszej dwudziestki.
Wszystko wskazuje na to, że jest to atak ukierunkowany na sieci korporacyjne, ponieważ wykorzystywane są metody podobne do tych obserwowanych podczas ataku wirusa ExPetr.
Nowy wirus stawia jedno żądanie dla wszystkich: okup w wysokości 0,05 bitcoinów. Pod względem rubli jest to około 16 tysięcy rubli. Jednocześnie informuje, że czas na spełnienie tego wymogu jest ograniczony. Na wszystko o wszystkim podaje się nieco ponad 40 godzin. Co więcej, opłata okupu wzrośnie.
Co to za wirus i jak działa?
Czy już wiesz, kto stoi za jego dystrybucją?
Nie udało się ustalić, kto stoi za tym atakiem. Śledztwo doprowadziło tylko programistów do nazwy domeny.
Specjaliści z firm antywirusowych zwracają uwagę na podobieństwo nowego wirusa do wirusa Petya.
Jednak w przeciwieństwie do poprzednich wirusów tego roku, tym razem hakerzy zdecydowali się obrać prostszą ścieżkę, według 1tv.ru.
„Najwyraźniej przestępcy spodziewali się, że w większości firm użytkownicy zaktualizują swoje komputery po tych dwóch atakach i postanowili spróbować dość taniego środka – socjotechniki, aby początkowo stosunkowo cicho infekować użytkowników” – powiedział szef anty- Dział badań nad wirusami w Kaspersky Lab Wiaczesław Zakorzhevsky.
Jak chronić komputer przed wirusem?
Pamiętaj, aby wykonać kopię zapasową systemu. Jeśli do ochrony używasz Kaspersky, ESET, Dr.Web lub innych popularnych odpowiedników, powinieneś niezwłocznie zaktualizować bazy danych. Ponadto w przypadku Kaspersky musisz włączyć "Monitorowanie aktywności" (Kontroler systemu) i zastosować sygnatury z aktualizacją 16295 do ESET, informuje talkdevice.
Jeśli nie masz programów antywirusowych, zablokuj wykonywanie plików C:\Windows\infpub.dat i C:\Windows\cscc.dat. Odbywa się to za pomocą Edytora zasad grupy lub programu AppLocker dla systemu Windows.
Wyłącz usługę — Instrumentacja zarządzania Windows (WMI). Za pomocą prawego przycisku wejdź we właściwości usługi i wybierz tryb „Wyłączone” w „Typ uruchomienia”.
Trzeci poważny cyberatak w ciągu roku. Tym razem wirus o nowej nazwie Bad Rabbit i starych nawykach - szyfrowaniu danych i wyłudzaniu pieniędzy na odblokowanie. A na dotkniętym obszarze nadal znajdują się Rosja, Ukraina i kilka innych krajów WNP.
Bad Rabbit działa zgodnie ze zwykłym schematem: wysyła wiadomość phishingową z załączonym wirusem lub linkiem. W szczególności osoby atakujące mogą podszywać się pod pomoc techniczną firmy Microsoft i prosić ich o pilne otwarcie załączonego pliku lub skorzystanie z łącza. Istnieje inna droga dystrybucji - fałszywe okno aktualizacji Adobe Flash Playera. W obu przypadkach Bad Rabbit działa w taki sam sposób, jak nie tak dawno temu sensacyjny, szyfruje dane ofiary i żąda okupu w wysokości 0,05 bitcoina, czyli około 280 USD po kursie wymiany z 25 października 2017 r. Ofiarami nowej epidemii byli Interfax, petersburska edycja Fontanki, kijowskie metro, lotnisko w Odessie i Ministerstwo Kultury Ukrainy. Istnieją dowody na to, że nowy wirus próbował zaatakować kilka znanych rosyjskich banków, ale ten pomysł się nie powiódł. Eksperci łączą Bad Rabbita z poprzednimi poważnymi atakami odnotowanymi w tym roku. Dowodem na to jest podobne oprogramowanie szyfrujące Diskcoder.D, a jest to ten sam szyfrator Petya, tylko nieznacznie zmodyfikowany.
Jak uchronić się przed Bad Rabbit?
Eksperci zalecają właścicielom komputerów z systemem Windows utworzenie pliku „infpub.dat” i umieszczenie go w folderze Windows na dysku „C”. W rezultacie ścieżka powinna wyglądać tak: C:\windows\infpub.dat. Można to zrobić za pomocą zwykłego notatnika, ale z uprawnieniami administratora. Aby to zrobić, znajdujemy link do programu Notatnik, klikamy prawym przyciskiem myszy i wybieramy „Uruchom jako administrator”.
Następnie wystarczy zapisać ten plik pod adresem C:\windows\, czyli do folderu Windows na dysku C. Nazwa pliku: infpub.dat, gdzie „dat” jest rozszerzeniem pliku. Nie zapomnij zamienić domyślnego rozszerzenia notatnika „txt” na „dat”. Po zapisaniu pliku otwórz folder Windows, znajdź utworzony plik infpub.dat, kliknij go prawym przyciskiem myszy i wybierz „Właściwości”, gdzie na samym dole musisz zaznaczyć „Tylko do odczytu”. Dlatego nawet jeśli złapiesz wirusa Bad Rabbit, nie będzie on w stanie zaszyfrować twoich danych.
Środki zapobiegawcze
Nie zapominaj, że możesz chronić się przed każdym wirusem, po prostu przestrzegając pewnych zasad. Brzmi banalnie, ale nigdy nie otwieraj listów, a tym bardziej ich załączników, jeśli adres wydaje ci się podejrzany. Wiadomości phishingowe, czyli podszywające się pod inne usługi, są najczęstszą metodą infekcji. Uważaj, co otwierasz. Jeśli załączony plik nosi w liście nazwę „Ważny dokument.docx_______.exe”, zdecydowanie nie należy otwierać tego pliku. Ponadto musisz mieć kopie zapasowe ważnych plików. Na przykład archiwum rodzinne ze zdjęciami lub dokumentami roboczymi można zduplikować na dysku zewnętrznym lub w chmurze. Nie zapominaj, jak ważne jest używanie licencjonowanej wersji systemu Windows i regularne instalowanie aktualizacji. Łatki bezpieczeństwa są wydawane przez Microsoft na bieżąco i osoby, które je instalują, nie mają problemów z takimi wirusami.
Koniec października tego roku upłynął pod znakiem pojawienia się nowego wirusa, który aktywnie atakował komputery użytkowników korporacyjnych i domowych. Nowy wirus jest ransomware i nazywa się Bad Rabbit, co oznacza zły królik. Za pomocą tego wirusa zaatakowano strony internetowe kilku rosyjskich środków masowego przekazu. Później wirus został również znaleziony w sieciach informacyjnych ukraińskich przedsiębiorstw. Zaatakowano tam sieci informacyjne metra, różne ministerstwa, międzynarodowe lotniska i tak dalej. Nieco później podobny atak wirusa zaobserwowano w Niemczech i Turcji, choć jego aktywność była znacznie mniejsza niż na Ukrainie iw Rosji.
Złośliwy wirus to specjalna wtyczka, która po dostaniu się do komputera szyfruje jego pliki. Po zaszyfrowaniu informacji napastnicy próbują zdobyć nagrody od użytkowników za odszyfrowanie ich danych.
Rozprzestrzenianie się wirusa
Eksperci z laboratorium rozwoju antywirusów ESET przeanalizowali algorytm ścieżki propagacji wirusa i doszli do wniosku, że jest to zmodyfikowany wirus, który rozprzestrzeniał się podobnie jak nie tak dawno temu wirus Petya.
Eksperci laboratoryjni ESET obliczyli, że złośliwe wtyczki były dystrybuowane z zasobu 1dnscontrol.com i adresu IP5.61.37.209. Kilka innych zasobów jest również powiązanych z tą domeną i adresem IP, w tym secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.
Specjaliści zbadali, że właściciele tych stron zarejestrowali wiele różnych zasobów, na przykład te, za pośrednictwem których za pomocą wysyłek spamowych próbują sprzedawać podrabiane leki. Specjaliści ESET nie wykluczają, że to z pomocą tych zasobów, wykorzystując spam i phishing, przeprowadzono główny cyberatak.
Jak zaraża się wirus Bad Rabbit?
Specjaliści z laboratorium informatyki śledczej zbadali, w jaki sposób wirus dostał się na komputery użytkowników. Okazało się, że w większości przypadków wirus ransomware Bad Rabbit był rozpowszechniany jako aktualizacja Adobe Flash. Oznacza to, że wirus nie wykorzystywał żadnych luk w systemie operacyjnym, ale został zainstalowany przez samych użytkowników, którzy nieświadomi tego zatwierdzili jego instalację, myśląc, że aktualizują wtyczkę Adobe Flash. Gdy wirus przedostał się do sieci lokalnej, wykradał loginy i hasła z pamięci i samodzielnie rozprzestrzeniał się na inne systemy komputerowe.
Jak hakerzy wyłudzają pieniądze
Po zainstalowaniu wirusa ransomware na komputerze szyfruje przechowywane informacje. Następnie użytkownicy otrzymują wiadomość informującą, że aby uzyskać dostęp do swoich danych, muszą dokonać płatności na określonej ciemnej stronie internetowej. Aby to zrobić, musisz najpierw zainstalować specjalną przeglądarkę Tor. Za to, że komputer zostanie odblokowany, napastnicy wymuszają płatność w wysokości 0,05 bitcoina. Dzisiaj, przy cenie 5600 USD za 1 bitcoin, jest to około 280 USD za odblokowanie komputera. Na dokonanie płatności użytkownik otrzymuje czas równy 48 godzin. Po tym okresie, jeśli wymagana kwota nie zostanie przelana na elektroniczne konto atakującego, kwota wzrasta.
Jak uchronić się przed wirusem
- Aby uchronić się przed infekcją wirusem Bad Rabbit, należy zablokować dostęp ze środowiska informacyjnego do powyższych domen.
- W przypadku użytkowników domowych należy zaktualizować aktualną wersję systemu Windows oraz program antywirusowy. W takim przypadku złośliwy plik zostanie wykryty jako wirus ransomware, co wykluczy możliwość jego zainstalowania na komputerze.
- Użytkownicy, którzy korzystają z wbudowanego programu antywirusowego systemu operacyjnego Windows, mają już ochronę przed tym oprogramowaniem ransomware. Jest zaimplementowany w aplikacji Windows Defender Antivirus.
- Twórcy programu antywirusowego z Kaspersky Lab zalecają wszystkim użytkownikom okresowe tworzenie kopii zapasowych swoich danych. Ponadto eksperci zalecają zablokowanie wykonywania plików c:\windows\infpub.dat, c:\WINDOWS\cscc.dat oraz, jeśli to możliwe, wyłączenie korzystania z usługi WMI.
Wniosek
Każdy z użytkowników komputerów powinien pamiętać, że podczas pracy w sieci na pierwszym miejscu powinno być cyberbezpieczeństwo. Dlatego należy zawsze monitorować korzystanie tylko ze zweryfikowanych zasobów informacyjnych oraz ostrożnie korzystać z poczty e-mail i sieci społecznościowych. To właśnie za pomocą tych zasobów najczęściej dokonuje się rozprzestrzenianie różnych wirusów. Podstawowe zasady zachowania w środowisku informacyjnym wyeliminują problemy pojawiające się podczas ataku wirusa.
Wczoraj, 24 października 2017 r., główne rosyjskie media, a także szereg ukraińskich agencji rządowych, nieznanych intruzów. Wśród ofiar znalazły się Interfax, Fontanka i co najmniej jedna inna nienazwana publikacja internetowa. W ślad za mediami o problemach informowały także Międzynarodowy Port Lotniczy w Odessie, kijowskie metro i ukraińskie Ministerstwo Infrastruktury. Według analityków Group-IB przestępcy próbowali również zaatakować infrastrukturę bankową, ale próby te zakończyły się niepowodzeniem. Z kolei specjaliści ESET twierdzą, że ataki dotknęły użytkowników z Bułgarii, Turcji i Japonii.
Jak się okazało, zakłócenia w pracy firm i agencji rządowych nie były spowodowane masowymi atakami DDoS, ale oprogramowaniem ransomware o nazwie Bad Rabbit (niektórzy eksperci wolą pisać BadRabbit bez spacji).
Wczoraj niewiele było wiadomo na temat złośliwego oprogramowania i jego działania: poinformowano, że ransomware żąda okupu w wysokości 0,05 bitcoina, a eksperci Group-IB powiedzieli, że atak przygotowywał się od kilku dni. Tak więc na stronie atakujących znaleziono dwa skrypty JS, a sądząc po informacjach z serwera, jeden z nich został zaktualizowany 19 października 2017 r.
Teraz, mimo że od rozpoczęcia ataków minął niecały dzień, eksperci z prawie wszystkich wiodących firm zajmujących się bezpieczeństwem informacji na świecie przeanalizowali już oprogramowanie ransomware. Czym więc jest Bad Rabbit i czy powinniśmy spodziewać się nowej „epidemii oprogramowania ransomware”, takiej jak WannaCry lub NotPetya?
W jaki sposób Bad Rabbit zdołał zakłócić działanie mediów głównego nurtu, jeśli były to fałszywe aktualizacje Flasha? Według ESET , Emsisoft oraz Fox IT, po infekcji złośliwe oprogramowanie wykorzystywało narzędzie Mimikatz do wyodrębniania haseł z LSASS, a także posiadało listę najczęstszych loginów i haseł. Złośliwe oprogramowanie wykorzystywało to wszystko do rozprzestrzeniania się za pośrednictwem SMB i WebDAV na inne serwery i stacje robocze znajdujące się w tej samej sieci, co zainfekowane urządzenie. Jednocześnie eksperci z wyżej wymienionych firm oraz pracownicy Cisco Talos uważają, że w tym przypadku nie było narzędzia skradzionego ze służb specjalnych, które wykorzystuje luki w SMB. Przypomnę, że wirusy WannaCry i NotPetya były dystrybuowane przy użyciu tego konkretnego exploita.
Jednak ekspertom wciąż udało się znaleźć pewne podobieństwa między Bad Rabbit a Petya (NotPetya). Tak więc ransomware nie tylko szyfruje pliki użytkownika za pomocą otwartego oprogramowania DiskCryptor, ale także modyfikuje MBR (Master Boot Record), po czym ponownie uruchamia komputer i wyświetla na ekranie komunikat z żądaniem okupu.
Choć wiadomość z żądaniami atakujących jest niemal identyczna z wiadomością od operatorów NotPetya, opinie ekspertów dotyczące powiązania Bad Rabbit i NotPetya nieco się różnią. Dlatego analitycy firmy Intezer obliczyli, że kod źródłowy złośliwego oprogramowania
Według Kaspersky Lab może to być zwiastun trzeciej fali wirusów ransomware. Dwie pierwsze to rewelacyjne WannaCry i Petya (aka NotPetya). Eksperci ds. cyberbezpieczeństwa rozmawiali z MIR 24 o pojawieniu się nowego złośliwego oprogramowania sieciowego i sposobach obrony przed jego potężnym atakiem.
Większość ofiar ataku Złego Królika znajduje się w Rosji. Na terenie Ukrainy, Turcji i Niemiec jest ich znacznie mniej – powiedział szef działu badań antywirusowych w Kaspersky Lab. Wiaczesław Zakorzhevsky. Prawdopodobnie na drugim miejscu pod względem aktywności znalazły się kraje, w których użytkownicy aktywnie śledzą rosyjskie zasoby Internetu.
Gdy złośliwe oprogramowanie zainfekuje komputer, szyfruje znajdujące się na nim pliki. Rozprzestrzenia się poprzez ruch sieciowy ze zhakowanych zasobów Internetu, wśród których znalazły się głównie strony federalnych mediów rosyjskich, a także komputery i serwery kijowskiego metra, ukraińskiego Ministerstwa Infrastruktury oraz Międzynarodowego Portu Lotniczego w Odessie. Odnotowano również nieudaną próbę ataku na rosyjskie banki z pierwszej dwudziestki.
O tym, że Fontanka, Interfax i szereg innych publikacji zostało zaatakowanych przez Bad Rabbit, poinformowała wczoraj Group-IB, firma specjalizująca się w bezpieczeństwie informacji. Analiza kodu wirusa wykazała, że Bad Rabbit jest powiązany z oprogramowaniem ransomware Not Petya, które w czerwcu w tym roku zaatakował firmy energetyczne, telekomunikacyjne i finansowe na Ukrainie.
Atak przygotowywano przez kilka dni i pomimo skali infekcji, oprogramowanie ransomware żądało od ofiar ataku stosunkowo niewielkich kwot - 0,05 bitcoinów (około 283 USD lub 15 700 rubli). Masz 48 godzin na odkupienie. Po upływie tego okresu kwota wzrasta.
Specjaliści Group-IB uważają, że hakerzy najprawdopodobniej nie mają zamiaru zarabiać pieniędzy. Ich prawdopodobnym celem jest testowanie poziomu ochrony sieci infrastruktury krytycznej przedsiębiorstw, departamentów rządowych i firm prywatnych.
Łatwo zostać zaatakowanym
Gdy użytkownik odwiedza zainfekowaną witrynę, złośliwy kod wysyła informacje o użytkowniku na zdalny serwer. Następnie pojawia się wyskakujące okienko z prośbą o pobranie aktualizacji Flash Playera, która jest fałszywa. Jeśli użytkownik zatwierdził operację „Instaluj”, plik zostanie pobrany na komputer, co z kolei uruchomi w systemie koder Win32/Filecoder.D. Ponadto dostęp do dokumentów zostanie zablokowany, na ekranie pojawi się komunikat z żądaniem okupu.
Wirus Bad Rabbit skanuje sieć w poszukiwaniu otwartych zasobów sieciowych, po czym uruchamia narzędzie do gromadzenia danych uwierzytelniających na zainfekowanej maszynie, a to „zachowanie” różni się od swoich poprzedników.
Specjaliści międzynarodowego twórcy oprogramowania antywirusowego Eset NOD 32 potwierdzili, że Bad Rabbit jest nową modyfikacją wirusa Petya, której zasada była taka sama – wirus szyfrował informacje i żądał okupu w bitcoinach (kwota była porównywalna do Zły Królik - 300 USD). Nowe złośliwe oprogramowanie naprawia błędy w szyfrowaniu plików. Kod użyty w wirusie służy do szyfrowania dysków logicznych, zewnętrznych dysków USB i obrazów CD/DVD, a także startowych partycji dyskowych.
Mówiąc o publiczności, która została zaatakowana przez Bad Rabbit, szefa wsparcia sprzedaży ESET Russia Witalij Zemski stwierdził, że 65% ataków zatrzymanych przez produkty antywirusowe firmy przypada na Rosję. Reszta geografii nowego wirusa wygląda tak:
Ukraina - 12,2%
Bułgaria - 10,2%
Turcja - 6,4%
Japonia - 3,8%
inne - 2,4%
„Oprogramowanie ransomware wykorzystuje dobrze znane oprogramowanie open source o nazwie DiskCryptor do szyfrowania dysków ofiary. Ekran komunikatu blokady, który widzi użytkownik, jest prawie identyczny z ekranami blokady Petya i NotPetya. Jest to jednak jedyne podobieństwo, jakie do tej pory zaobserwowaliśmy między tymi dwoma złośliwymi programami. We wszystkich innych aspektach BadRabbit jest całkowicie nowym i unikalnym rodzajem oprogramowania ransomware” — mówi CTO firmy Check Point Software Technologies. Nikita Durowa.
Jak uchronić się przed Bad Rabbit?
Właściciele systemów operacyjnych innych niż Windows mogą odetchnąć z ulgą, ponieważ nowy wirus ransomware naraża tylko komputery z tą „osią”.
Aby chronić się przed złośliwym oprogramowaniem sieciowym, eksperci zalecają utworzenie pliku C:\windows\infpub.dat na komputerze, jednocześnie ustawiając jego prawa tylko do odczytu - jest to łatwe do zrobienia w sekcji administracji. W ten sposób zablokujesz wykonanie pliku, a wszystkie dokumenty pochodzące z zewnątrz nie zostaną zaszyfrowane, nawet jeśli okażą się zainfekowane. Aby nie stracić cennych danych w przypadku infekcji wirusem, wykonaj teraz kopię zapasową (kopia zapasowa). I oczywiście warto pamiętać, że zapłacenie okupu to pułapka, która nie gwarantuje odblokowania komputera.
Przypomnijmy, że wirus w maju tego roku rozprzestrzenił się na co najmniej 150 krajów na całym świecie. Zaszyfrował informację i zażądał, według różnych źródeł, okupu od 300 do 600 dolarów. Ucierpiało na nim ponad 200 tys. użytkowników. Według jednej wersji, jej twórcy wzięli za podstawę amerykańskie złośliwe oprogramowanie NSA Eternal Blue.
Alla Smirnova rozmawiała z ekspertami
Nowe artykuły
- „Samsung Galaxy S7 Edge”: opis, dane techniczne i recenzje Wymiary telefonu Samsung Galaxy s7
- Wszystko, co wiemy o Microsoft Surface Phone Co nowego w Surface Phone
- UMPC Samsung Q1 - siedem cali pod Windows XP Tablet Edition Zasilanie, czas pracy
- WristWhirl: prototyp smartwatcha sterowanego gestami Gesty dla Androida
- Jak udostępnić swoją lokalizację innym użytkownikom Widżet znajomych na mapie google, gdzie byłeś?
- Jak samodzielnie wymienić baterię MacBooka Air
- Jak ukryć wszystkie wiadomości VK przed innymi użytkownikami?
- Znaczenie emotikonów w Internecie
- Jak poprawnie ustawić hasło na komputerze?
- Jak wyczyścić pamięć podręczną na iPhonie (śmieci w aplikacjach i przeglądarce Safari)
popularne artykuły
- Mnożenie macierzy przez liczbę: przykłady, właściwości, znaczenie Jak można pomnożyć macierz przez liczbę
- Baterie litowo-polimerowe
- W jakiej kolejności wykonywać operacje logiczne
- Jak sprawdzić równowagę na Megafonie - Wszystko na półkach
- Dlaczego GPS nie działa na Androidzie i jak go skonfigurować?
- Nie można zainstalować programu w systemie Windows - błędy ...
- Jak nagrać rozmowę telefoniczną na Androidzie
- Jak zrobić zrzut ekranu na komputerze i urządzeniu mobilnym
- Jak nagrać rozmowę telefoniczną
- Jak odblokować tablet, jeśli zapomniałeś hasła lub wzoru