Vad är Bad Rabbit-viruset och hur du skyddar din dator. Bad Rabbit: ett annat ransomware-virus
Ransomwaren som kallas Bad Rabbit har attackerat tiotusentals datorer i Ukraina, Turkiet och Tyskland. Men de flesta attackerna var mot Ryssland. Vilken typ av virus är detta och hur du skyddar din dator, berättar vi i vårt avsnitt "Fråga och svar".
Vem led i Ryssland av Bad Rabbit?
Bad Rabbit ransomware började spridas den 24 oktober. Bland offren för hans handlingar finns nyhetsbyrån Interfax och publikationen Fontanka.ru.
Även tunnelbanan i Kiev och flygplatsen i Odessa drabbades av hackares agerande. Efter att det blev känt om ett försök att hacka systemet från flera ryska banker från topp 20.
Av alla indikationer är detta en riktad attack på företagsnätverk, eftersom metoder som liknar de som observerades under attacken av ExPetr-viruset används.
Det nya viruset ställer ett krav för alla: en lösensumma på 0,05 bitcoin. När det gäller rubel är detta cirka 16 tusen rubel. Han informerar samtidigt om att tiden för att uppfylla detta krav är begränsad. För allt om allt ges lite mer än 40 timmar. Dessutom kommer lösensumman att öka.
Vad är detta virus och hur fungerar det?
Har du redan listat ut vem som ligger bakom distributionen?
Det har inte gått att ta reda på vem som ligger bakom denna attack. Undersökningen ledde bara programmerarna till domännamnet.
Specialister från antivirusföretag noterar likheten mellan det nya viruset och Petya-viruset.
Men till skillnad från tidigare virus i år bestämde sig hackarna den här gången för att ta en enklare väg, enligt 1tv.ru.
"Tydligen förväntade sig brottslingarna att i de flesta företag skulle användare uppdatera sina datorer efter dessa två attacker, och bestämde sig för att prova ett ganska billigt verktyg - social ingenjörskonst, för att till en början infektera användare relativt tyst", sa chefen för anti- virusforskningsavdelning vid Kaspersky Lab Vyacheslav Zakorzhevsky.
Hur skyddar du din dator från virus?
Se till att säkerhetskopiera ditt system. Om du använder Kaspersky, ESET, Dr.Web eller andra populära analoger för skydd, bör du omedelbart uppdatera databaserna. För Kaspersky måste du också aktivera "Activity Monitoring" (System Watcher) och tillämpa signaturer med uppdatering 16295 till ESET, informerar talkdevice.
Om du inte har antivirusprogram, blockera körningen av filerna C:\Windows\infpub.dat och C:\Windows\cscc.dat. Detta görs genom grupprincipredigeraren eller AppLocker-programmet för Windows.
Inaktivera tjänsten - Windows Management Instrumentation (WMI). Ange tjänstens egenskaper genom den högra knappen och välj läget "Inaktiverat" i "Starttyp".
Tredje stora cyberattacken på ett år. Den här gången ett virus med ett nytt namn Bad Rabbit och gamla vanor - datakryptering och utpressning av pengar för upplåsning. Och i det drabbade området finns fortfarande Ryssland, Ukraina och några andra OSS-länder.
The Bad Rabbit agerar enligt det vanliga schemat: den skickar ett nätfiske-e-postmeddelande med ett bifogat virus eller en länk. I synnerhet kan angripare utge sig för att vara Microsofts tekniska support och be dem att omedelbart öppna en bifogad fil eller följa en länk. Det finns en annan distributionsväg - ett falskt Adobe Flash Player-uppdateringsfönster. I båda fallen agerar Bad Rabbit på samma sätt som den sensationella för inte så länge sedan, den krypterar offrets data och kräver en lösensumma på 0,05 bitcoin, vilket är cirka 280 dollar vid växelkursen den 25 oktober 2017. Offren för den nya epidemin var Interfax, St. Petersburg-utgåvan av Fontanka, Kievs tunnelbana, flygplatsen i Odessa och Ukrainas kulturministerium. Det finns bevis för att det nya viruset försökte attackera flera välkända ryska banker, men denna idé misslyckades. Experter kopplar Bad Rabbit till tidigare stora attacker som registrerats i år. Ett bevis på detta är den liknande krypteringsmjukvaran Diskcoder.D, och det här är samma Petya-kryptering, endast något modifierad.
Hur skyddar du dig från Bad Rabbit?
Experter rekommenderar att ägare av Windows-datorer skapar filen "infpub.dat" och placerar den i Windows-mappen på "C"-enheten. Som ett resultat bör sökvägen se ut så här: C:\windows\infpub.dat. Detta kan göras med ett vanligt anteckningsblock, men med administratörsrättigheter. För att göra detta hittar vi länken till programmet Notepad, högerklickar och väljer "Kör som administratör".
Sedan behöver du bara spara den här filen till adressen C:\windows\, det vill säga i Windows-mappen på C-enheten. Filnamn: infpub.dat, där "dat" är filtillägget. Glöm inte att ersätta standardanteckningsblockstillägget "txt" med "dat". Efter att du sparat filen, öppna Windows-mappen, leta reda på den skapade infpub.dat-filen, högerklicka på den och välj "Egenskaper", där längst ner måste du markera "Read Only". Således, även om du fångar Bad Rabbit-viruset, kommer det inte att kunna kryptera dina data.
Förebyggande åtgärder
Glöm inte att du kan skydda dig mot alla virus helt enkelt genom att följa vissa regler. Det låter banalt, men aldrig öppna brev, och ännu mer deras bilagor, om adressen verkar misstänkt för dig. Nätfiske-e-post, det vill säga maskering som andra tjänster, är den vanligaste metoden för infektion. Var försiktig med vad du öppnar. Om den bifogade filen heter "Important document.docx_______.exe" i brevet, bör du definitivt inte öppna den här filen. Dessutom måste du ha säkerhetskopior av viktiga filer. Till exempel kan ett familjearkiv med foton eller arbetsdokument dupliceras på en extern enhet eller molnlagring. Glöm inte hur viktigt det är att använda en licensierad version av Windows och installera uppdateringar regelbundet. Säkerhetskorrigeringar släpps av Microsoft regelbundet och de som installerar dem har inga problem med sådana virus.
Slutet av oktober i år präglades av uppkomsten av ett nytt virus som aktivt attackerade företags- och hemanvändares datorer. Det nya viruset är ett ransomware och heter Bad Rabbit, vilket betyder dålig kanin. Med hjälp av detta virus attackerades flera ryska massmedias webbplatser. Senare hittades viruset också i ukrainska företags informationsnätverk. Där attackerades informationsnäten i tunnelbanan, olika ministerier, internationella flygplatser och så vidare. Lite senare observerades en liknande virusattack i Tyskland och Turkiet, även om dess aktivitet var betydligt lägre än i Ukraina och Ryssland.
Ett skadligt virus är ett speciellt plug-in som, efter att det kommer in i en dator, krypterar dess filer. När informationen väl har krypterats försöker angripare få belöningar från användare för att dekryptera deras data.
Spridning av viruset
Experter från ESET:s laboratorium för utveckling av antivirusprogram analyserade algoritmen för virusspridningsvägen och kom till slutsatsen att det är ett modifierat virus som nyligen spreds som Petya-viruset.
ESETs laboratorieexperter har beräknat att skadliga plugins distribuerades från 1dnscontrol.com-resursen och IP-adressen IP5.61.37.209. Flera fler resurser är också associerade med denna domän och IP, inklusive secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.
Specialister undersökte att ägarna av dessa sajter registrerade många olika resurser, till exempel de genom vilka de med hjälp av spam-utskick försöker sälja förfalskade läkemedel. ESET-specialister utesluter inte att det var med hjälp av dessa resurser, med hjälp av spam och nätfiske, som den huvudsakliga cyberattacken utfördes.
Hur infekteras Bad Rabbit-viruset?
Specialister från det kriminaltekniska laboratoriet undersökte hur viruset kom till användarnas datorer. Det visade sig att Bad Rabbit ransomware-viruset i de flesta fall distribuerades som en uppdatering till Adobe Flash. Det vill säga att viruset inte använde några sårbarheter i operativsystemet, utan installerades av användarna själva, som, omedvetna om detta, godkände installationen och trodde att de uppdaterade Adobe Flash-pluginen. När ett virus kom in i ett lokalt nätverk, stjäl det inloggningar och lösenord från minnet och spred sig till andra datorsystem på egen hand.
Hur hackare pressar pengar
Efter att ransomware-viruset har installerats på datorn krypterar det den lagrade informationen. Därefter får användare ett meddelande som indikerar att för att få tillgång till deras data måste de göra en betalning på den angivna mörka webbplatsen. För att göra detta måste du först installera en speciell Tor-webbläsare. För det faktum att datorn kommer att låsas upp tvingar angriparna ut betalningar på 0,05 bitcoin. Idag, till ett pris av $5600 för 1 Bitcoin, är detta cirka $280 för att låsa upp en dator. För att göra en betalning ges användaren en tidsperiod motsvarande 48 timmar. Efter denna period, om det erforderliga beloppet inte har överförts till angriparens elektroniska konto, ökar beloppet.
Hur du skyddar dig mot viruset
- För att skydda dig mot infektion med Bad Rabbit-viruset bör du blockera åtkomst från informationsmiljön till ovanstående domäner.
- För hemanvändare måste du uppdatera den aktuella versionen av Windows samt antivirusprogrammet. I det här fallet kommer den skadliga filen att upptäckas som ett ransomware-virus, vilket utesluter möjligheten att den installeras på datorn.
- De användare som använder det inbyggda antivirusprogrammet i Windows-operativsystemet har redan skydd mot dessa ransomware. Det är implementerat i Windows Defender Antivirus-applikationen.
- Utvecklarna av antivirusprogrammet från Kaspersky Lab råder alla användare att med jämna mellanrum säkerhetskopiera sina data. Dessutom rekommenderar experter att blockera exekveringen av filerna c:\windows\infpub.dat, c:\WINDOWS\cscc.dat och, om möjligt, inaktivera användningen av WMI-tjänsten.
Slutsats
Alla datoranvändare bör komma ihåg att cybersäkerhet bör komma först när de arbetar på nätverket. Därför bör du alltid övervaka användningen av endast verifierade informationsresurser och noggrant använda e-post och sociala nätverk. Det är genom dessa resurser som spridningen av olika virus oftast sker. Elementära beteenderegler i informationsmiljön kommer att eliminera de problem som uppstår under en virusattack.
Igår, 24 oktober 2017, stora ryska medier, samt ett antal ukrainska myndigheter, okända inkräktare. Interfax, Fontanka och åtminstone en annan icke namngiven onlinepublikation var bland offren. Efter media rapporterades problemen även av Odessas internationella flygplats, Kievs tunnelbana och det ukrainska ministeriet för infrastruktur. Enligt Group-IB-analytiker försökte brottslingarna också attackera bankinfrastruktur, men dessa försök misslyckades. ESET-specialister hävdar i sin tur att attackerna påverkade användare från Bulgarien, Turkiet och Japan.
Det visade sig att störningar i företagens och statliga myndigheters arbete inte orsakades av massiva DDoS-attacker, utan av ett ransomware som går under namnet Bad Rabbit (vissa experter föredrar att skriva BadRabbit utan mellanslag).
I går var lite känt om skadlig programvara och hur den fungerar: det rapporterades att ransomwaren krävde en lösensumma på 0,05 bitcoin, och Group-IB-experter sa att attacken hade förberett sig i flera dagar. Så två JS-skript hittades på angriparnas webbplats och, att döma av informationen från servern, uppdaterades ett av dem den 19 oktober 2017.
Nu, även om det har gått mindre än en dag sedan attackerna började, har experter från nästan alla ledande informationssäkerhetsföretag i världen redan analyserat ransomwaren. Så, vad är Bad Rabbit, och ska vi förvänta oss en ny "ransomware-epidemi" som WannaCry eller NotPetya?
Hur lyckades Bad Rabbit störa mainstreammedia om det var falska uppdateringar till Flash? Enligt ESET , Emsisoft och Fox IT, efter infektion använde den skadliga programvaran Mimikatz-verktyget för att extrahera lösenord från LSASS, och hade även en lista över de vanligaste inloggningarna och lösenorden. Skadlig programvara använde allt detta för att spridas via SMB och WebDAV till andra servrar och arbetsstationer i samma nätverk som den infekterade enheten. Samtidigt tror experter från ovan listade företag och anställda på Cisco Talos att det i det här fallet inte stals något verktyg från specialtjänster som använder luckor i SMB. Låt mig påminna dig om att virusen WannaCry och NotPetya distribuerades med denna speciella exploatering.
Men experter lyckades fortfarande hitta vissa likheter mellan Bad Rabbit och Petya (NotPetya). Så, ransomware krypterar inte bara användarfiler med öppen källkod DiskCryptor, utan modifierar MBR (Master Boot Record), varefter den startar om datorn och visar ett lösenmeddelande på skärmen.
Även om meddelandet med angriparnas krav nästan är identiskt med meddelandet från operatörerna av NotPetya, skiljer sig experternas åsikter om sambandet mellan Bad Rabbit och NotPetya något. Således beräknade Intezer analytiker att källkoden för skadlig kod
Det kan vara ett förebud om den tredje vågen av ransomware-virus, enligt Kaspersky Lab. De två första var sensationella WannaCry och Petya (aka NotPetya). Cybersäkerhetsexperter talade med MIR 24 om uppkomsten av ett nytt skadligt nätverk och hur man försvarar sig mot dess kraftfulla attack.
De flesta offren för attacken med Bad Rabbit befinner sig i Ryssland. På Ukrainas, Turkiets och Tysklands territorium finns det mycket färre av dem, sade chefen för antivirusforskningsavdelningen vid Kaspersky Lab Vyacheslav Zakorzhevsky. Förmodligen visade sig de länder där användare aktivt följer ryska internetresurser vara de näst mest aktiva.
När skadlig programvara infekterar en dator krypterar den filer på den. Det sprids via webbtrafik från hackade internetresurser, bland vilka huvudsakligen var webbplatser för federala ryska medier, samt datorer och servrar för Kievs tunnelbana, det ukrainska ministeriet för infrastruktur och Odessas internationella flygplats. Ett misslyckat försök att attackera ryska banker från topp 20 registrerades också.
Att Fontanka, Interfax och ett antal andra publikationer attackerades av Bad Rabbit rapporterades i går av Group-IB, ett företag specialiserat på informationssäkerhet. Analys av viruskoden visade det Bad Rabbit förknippas med Not Petya ransomware, som i juni i år attackerade energi-, telekommunikations- och finansföretag i Ukraina.
Attacken förbereddes i flera dagar och trots infektionens omfattning krävde ransomwaren relativt små belopp från offren för attacken - 0,05 bitcoins (cirka 283 $ eller 15 700 rubel). Du har 48 timmar på dig att lösa in. Efter utgången av denna period ökar beloppet.
Group-IB-specialister tror att hackarna med största sannolikhet inte har för avsikt att tjäna pengar. Deras troliga mål är att testa skyddsnivån för kritiska infrastrukturnätverk för företag, statliga myndigheter och privata företag.
Det är lätt att bli attackerad
När en användare besöker en infekterad webbplats skickar den skadliga koden information om användaren till en fjärrserver. Därefter visas ett popup-fönster som ber dig att ladda ner en uppdatering för Flash Player, som är falsk. Om användaren godkände "Install"-operationen kommer en fil att laddas ner till datorn, som i sin tur startar Win32/Filecoder.D-kodaren i systemet. Vidare kommer åtkomst till dokument att blockeras, ett meddelande om lösen kommer att visas på skärmen.
Bad Rabbit-viruset söker igenom nätverket efter öppna nätverksresurser, varefter det startar ett verktyg för insamling av autentiseringsuppgifter på den infekterade maskinen, och detta "beteende" skiljer sig från sina föregångare.
Specialister från den internationella utvecklaren av antivirusprogramvaran Eset NOD 32 bekräftade att Bad Rabbit är en ny modifiering av Petya-viruset, vars princip var densamma - viruset krypterade information och krävde en lösensumma i bitcoins (beloppet var jämförbart med Dålig kanin - $ 300). Den nya skadliga programvaran fixar buggar i filkryptering. Koden som används i viruset är utformad för att kryptera logiska enheter, externa USB-enheter och CD/DVD-avbildningar, samt startbara diskpartitioner.
På tal om publiken som attackerades av Bad Rabbit, chef för försäljningssupport ESET Ryssland Vitaly Zemsky uppgav att 65 % av attackerna som stoppas av företagets antivirusprodukter faller på Ryssland. Resten av geografin för det nya viruset ser ut så här:
Ukraina - 12,2 %
Bulgarien - 10,2 %
Turkiet - 6,4 %
Japan - 3,8 %
andra - 2,4 %
"Ransomwaren använder en välkänd programvara med öppen källkod som heter DiskCryptor för att kryptera offrets enheter. Låsmeddelandeskärmen som användaren ser är nästan identisk med låsskärmarna Petya och NotPetya. Detta är dock den enda likheten vi har sett hittills mellan de två skadliga programmen. I alla andra aspekter är BadRabbit en helt ny och unik typ av ransomware”, säger CTO för Check Point Software Technologies. Nikita Durov.
Hur skyddar du dig från Bad Rabbit?
Ägare av andra operativsystem än Windows kan andas ut, eftersom det nya ransomware-viruset bara gör datorer med denna "axel" sårbara.
För att skydda mot skadlig programvara rekommenderar experter att du skapar filen C:\windows\infpub.dat på din dator, samtidigt som du ställer in dess skrivskyddade rättigheter - detta är enkelt att göra i administrationssektionen. Således kommer du att blockera exekveringen av filen, och alla dokument som kommer utifrån kommer inte att krypteras även om de visar sig vara infekterade. För att inte förlora värdefull data i händelse av infektion med ett virus, gör en säkerhetskopia (säkerhetskopia) nu. Och, naturligtvis, är det värt att komma ihåg att betala en lösensumma är en fälla som inte garanterar att du låser upp din dator.
Kom ihåg att viruset i maj i år spred sig till minst 150 länder runt om i världen. Han krypterade informationen och krävde att betala en lösensumma, enligt olika källor, från 300 till 600 dollar. Mer än 200 tusen användare led av det. Enligt en version tog dess skapare den amerikanska NSA malware Eternal Blue som grund.
Alla Smirnova pratade med experter
Nya artiklar
- Hur man laddar ner filer från turbobit
- Program för att sammanställa korsord
- Vad är Spotify och hur man använder det Vilka länder fungerar spotify i?
- Vi vet långt ifrån allt: vilka sociala nätverk som finns på Internet
- "Samsung Galaxy S7 Edge": beskrivning, specifikationer och recensioner Samsung galaxy s7 telefondimensioner
- Allt vi vet om Microsoft Surface Phone Vad är nytt i Surface Phone
- UMPC Samsung Q1 - sju tum under Windows XP Tablet Edition Ström, drifttid
- WristWhirl: en prototyp av en smartklocka som styrs av gester Gestures för Android
- Hur du delar din plats med andra användare Widget vänner på google map vart tog du vägen
- Så här byter du ditt MacBook Air-batteri själv
Populära artiklar
- Hur döljer man alla dina VK-nyheter från andra användare?
- Betydelsen av uttryckssymboler på Internet
- Hur man ställer in ett lösenord på en dator korrekt
- Hur man rensar cacheminnet på iPhone (skräp i applikationer och webbläsare Safari)
- Matrismultiplikation med ett tal: exempel, egenskaper, betydelse Hur kan en matris multipliceras med ett tal
- Litiumpolymerbatterier
- I vilken ordning att utföra logiska operationer
- Hur man tar reda på balansen på Megafon - Allt på hyllorna
- Varför fungerar inte GPS på Android och hur ställer man in det?
- Det går inte att installera programmet på Windows - fel ...