Що за вірус Bad Rabbit та як захистити свій комп'ютер. Bad Rabbit: черговий вірус-шифрувальник

Вірус-шифрувальник, відомий як Bad Rabbit, атакував десятки тисяч комп'ютерів в Україні, Туреччині та Німеччині. Але найбільше атак припало на Росію. Що це за вірус та як захистити свій комп'ютер, розповідаємо у нашій рубриці "Питання-відповідь".

Хто постраждав у Росії від Bad Rabbit?

Вірус-шифрувальник Bad Rabbit почав поширюватися 24 жовтня. Серед постраждалих від його дії - інформагентство "Інтерфакс", видання "Фонтанка.ру".

Також від дій хакерів постраждали метрополітен Києва та аеропорт Одеси. Після стало відомо про спробу злому системи кількох російських банків із топ-20.

За всіма ознаками це цілеспрямована атака на корпоративні мережі, оскільки використовуються методи, подібні до тих, що спостерігалися при атаці вірусу ExPetr.

Новий вірус всім висуває одну вимогу: викуп 0,05 біткоїну. У перерахунку на рублі це близько 16 тисяч карбованців. При цьому він повідомляє, що час виконання цієї вимоги обмежений. На все про все дається трохи більше 40 годин. Далі плата за викуп збільшиться.

Що це за вірус та як він працює?

Чи вдалося вже з'ясувати, хто стоїть за його поширенням?

З'ясувати, хто стоїть за цією атакою, поки що не вдалося. Розслідування лише призвело програмістів до доменного імені.

Фахівці антивірусних компаній відзначають схожість нового вірусу із вірусом Petya.

Але, на відміну від минулих цьогорічних вірусів, цього разу хакери вирішили піти простим шляхом, повідомляє 1tv.ru .

"Очевидно, злочинці очікували, що в більшості компаній користувачі оновлять свої комп'ютери після двох цих атак, і вирішили випробувати досить дешевий засіб - соціальну інженерію, щоб спочатку відносно непомітно заражати користувачів", - повідомив керівник відділу антивірусних досліджень "Лабораторії Касперського" В'ячеслав Закоржевський.

Як захистити свій комп'ютер від вірусу?

Обов'язково зробіть резервну копію системи. Якщо ви використовуєте для захисту Касперський, ESET, Dr.Web чи інші популярні аналоги, слід оперативно оновити бази даних. Також для Касперського необхідно включити "Моніторинг активності" (System Watcher), а в ESET застосувати сигнатури з оновленням 16295, інформує talkdevice.

Якщо у вас немає антивірусників, заблокуйте виконання файлів C:\Windows\infpub.dat та C:\Windows\cscc.dat. Робиться це через редактор групових політикабо програму AppLocker для Windows.

Забороніть виконання служби - Windows Management Instrumentation (WMI). Через праву кнопку увійдіть у властивості служби та виберіть у "Тип запуску" режим "Вимкнуто".

Третя масштабна кібератака за рік. Цього разу вірус із новою назвою Bad Rabbit та старими звичками — шифрування даних та вимагання грошей за розблокування. І в зоні поразки як і раніше Росія, Україна та деякі інші країни СНД.

Поганий Кролик діє за звичною схемою: надсилає фішингове лист із вкладеним вірусом чи посиланням. Зокрема, зловмисники можуть бути техпідтримкою Microsoft і попросити терміново відкрити вкладений файл або пройти за посиланням. Є й інший шлях поширення – підроблене вікно оновлення Adobe Flash Player. В обох випадках Bad Rabbit діє також, як і нашумевший нещодавно, він шифрує дані жертви і вимагає викуп у розмірі 0,05 біткойна, що приблизно $280 за курсом на 25 жовтня 2017 року. Жертвами нової епідемії стали "Інтерфакс", пітерське видання "Фонтанка", київський Метрополітен, одеський аеропорт та Міністерство культури України. Є дані, що новий вірус намагався атакувати і кілька відомих російських банків, але ця витівка провалилася. Експерти пов'язують Bad Rabbit із попередніми великими атаками, зафіксованими цього року. Доказом тому служить подібне шифрування Diskcoder.D, а це той самий шифрувальник Petya, тільки трохи видозмінений.

Як захиститись від Bad Rabbit?

Фахівці рекомендують власникам Windows комп'ютерівстворити файл «infpub.dat» і помістити його в папку Windowsна диску "C". У результаті шлях має виглядати так: C:\windows\infpub.dat. Зробити це можна за допомогою звичайного блокнота, але з правами адміністратора. Для цього знаходимо посилання на програму «Блокнот», клацаємо правою кнопкоюмишки та вибираємо «Запуск від імені Адміністратора».

Далі потрібно просто зберегти цей файл за адресою C: \ Windows \, ​​тобто в папку Windows на диску "C". Назва файлу: infpub.dat, при цьому "dat" це розширення файлу. Не забудьте замінити стандартне розширення блокноту "txt" на "dat". Після того, як ви збережете файл, відкрийте папку Windows, знайдіть створений файл infpub.dat, натисніть на нього правою кнопкою миші і виберіть пункт "Властивості", де в самому низу потрібно поставити галочку "Тільки читання". Таким чином, навіть якщо ви зловите вірус Поганого Кролика, він не зможе зашифрувати ваші дані.

Превентивні заходи

Не забувайте, що захистити себе від будь-якого вірусу можна просто дотримуючись певних правил. Прозвучить банально, але ніколи не відкривайте листи і вже тим більше їх вкладення, якщо адреса здається вам підозрілою. Фішингові листи, тобто маскуються під інші послуги, найчастіший спосіб зараження. Уважно стежте за тим, що ви відкриваєте. Якщо в листі вкладений файл називається «Важливий документ.docx_______.exe», то відкривати цей файл точно не слід. Крім цього, потрібно мати резервні копії важливих файлів. Наприклад, сімейний архів з фотографіями або робочі документи можна продублювати на зовнішній дискабо на хмарне сховище. Не забувайте, як важливо використовувати ліцензійну версію Windows та регулярно встановлювати оновлення. Патчі безпеки випускаються Microsoft регулярно і ті, хто їх встановлює, не мають проблем з подібними вірусами.

Кінець жовтня цього року було ознаменовано появою нового вірусу, який активно атакував комп'ютери корпоративних та домашніх користувачів. Новий вірус є шифрувальником і називається Bad Rabbit, що в перекладі означає поганий кролик. За допомогою цього вірусу атакували сайти кількох російських засобів масової інформації. Пізніше вірус виявили і в інформаційних мережах українських підприємств. Там були атаковані інформаційні мережі метрополітену, різних міністерств, міжнародних аеропортів та інше. Трохи пізніше аналогічна вірусна атака спостерігалася в Німеччині та Туреччині, хоча її активність була суттєво нижчою, ніж в Україні та Росії.

Шкідливий вірус є спеціальним плагіном, який після попадання на комп'ютер, робить шифрування його файлів. Після того, як інформація була зашифрована, зловмисники намагаються отримати винагороду від користувачів за розшифрування даних.

Розповсюдження вірусу

Фахівці лабораторії з розробки антивірусних програм ESET проаналізували алгоритм роботи способу поширення вірусу і дійшли висновків, що він є модифікованим вірусом, який нещодавно поширювався, як вірус Petya.

Фахівці лабораторії ESET вирахували, що поширення шкідливих плагінів здійснювалося з ресурсу 1dnscontrol.com та IP-адреси IP5.61.37.209. З цим доменом та IP також пов'язані ще кілька ресурсів, серед яких secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.

Фахівцями було розслідувано, що власниками цих сайтів зареєстровано безліч різних ресурсів, наприклад, через які спам розсилки намагаються реалізувати контрафактні медикаменти. Фахівці ESET не виключають, що саме за допомогою цих ресурсів, використовуючи спам розсилку та фішинг, була здійснена основна кібератака.

Як відбувається зараження вірусом Bad Rabbit

Фахівцями лабораторії комп'ютерної криміналістики проводилося розслідування, як вірус потрапляв на комп'ютери користувачів. Було виявлено, що в більшості випадків вірус-шифрувальник Bad Rabbit поширювався як оновлення до Adobe Flash. Тобто вірус не використовував уразливості операційної системи, а встановлювався самими користувачами, які, не знаючи про це, схвалювали його установку, думаючи, що вони оновлюють плагін Adobe Flash. Коли вірус потрапляв у локальну мережуВін виробляв крадіжку з пам'яті логінів і паролів і самостійно поширювався на інші комп'ютерні системи.

Як хакери вимагають гроші

Після того як вірус-шифрувальник був встановлений на комп'ютері він робить шифрування інформації, що зберігається. Далі користувачі отримують повідомлення, в якому вказується, що для того, щоб отримати доступ до своїх даних, слід виконати платіж на вказаному сайті в даркнеті. Для цього спочатку потрібно встановити спеціальний браузер Tor. За те, що комп'ютер буде розблоковано, зловмисники вимагають оплату в сумі 0,05 біткоїну. На сьогоднішній день, за ціною за 1 Bitcoin 5600 доларів, це становить приблизно 280 доларів за розблокування комп'ютера. На те щоб зробити оплату користувачеві надається тимчасовий термін рівний 48 годин. Після закінчення цього терміну, якщо необхідну суму не було переведено на електронний рахунок зловмисника, сума збільшується.

Як захиститися від вірусу

1. Щоб захистити себе від зараження вірусом Bad Rabbit, слід заблокувати доступ з інформаційного середовища до вказаних вище доменів.
2. Для домашніх користувачів потрібно провести оновлення поточної версії Windowsа також антивірусної програми. У такому випадку шкідливий файл буде детектуватись, як вірус здирник, що виключить можливість його встановлення на комп'ютері.
3. Ті користувачі, які використовують вбудований антивірус операційної системи Windows, вже мають захист від цих здирників. Вона реалізована в програмі Windows Defender Antivirus.
4. Розробники антивірусної програми з Касперського лабораторії радять усім користувачам періодично робити бэкап своїх даних. Крім цього, фахівці рекомендують блокувати виконання файлів c:\windows\infpub.dat, c:\WINDOWS\cscc.dat, а також, якщо є можливість, то потрібно заборонити використання WMI-сервісу.

Висновок

Кожен із користувачів комп'ютера повинен пам'ятати, що кібербезпека під час роботи в мережі має бути на першому місці. Тому завжди потрібно стежити за використанням лише перевірених інформаційних ресурсів та акуратно використовувати електронну поштуі соціальні мережі. Саме через ці ресурси найчастіше здійснюється поширення різних вірусів. Елементарні правила поведінки в інформаційному середовищі дозволять виключити проблеми, що виникають при вірусній атаці.

Учора, 24 жовтня 2017 року, великі російські ЗМІ, а також низка українських держустанов невідомих зловмисників. Серед постраждалих опинилися «Інтерфакс», «Фонтанка» та як мінімум ще одне неназване інтернет-видання. Слідом за ЗМІ про проблеми також повідомили Міжнародний аеропорт "Одеса", Київський метрополітен та українське Міністерство інфраструктури. За заявою аналітиків Group-IB, злочинці також намагалися атакувати банківські інфраструктури, але ці спроби виявилися невдалими. Фахівці ESET у свою чергу стверджують, що атаки торкнулися користувачів з Болгарії, Туреччини та Японії.

Як виявилося, перебої в роботі компаній та держустанов були викликані не масовими DDoS-атаками, але шифрувальником, який носить ім'я Bad Rabbit (деякі експерти вважають за краще писати BadRabbit без пропуску).

Учора про малварі та механізми її роботи було відомо небагато: повідомлялося, що шифрувальник вимагає викуп у розмірі 0,05 біткоїну, а також експерти Group-IB розповідали, що атака готувалася кілька днів. Так, на сайті зловмисників було виявлено два JS-скрипти, і, судячи з інформації з сервера, один із них оновлювався 19 жовтня 2017 року.

Тепер, хоча не минуло й доби з початку атак, аналіз шифрувальника вже здійснили фахівці чи не всіх провідних ІБ-компаній світу. Отже, що являє собою Bad Rabbit, і чи слід очікувати на нову «вимагательську епідемію», подібну до WannaCry чи NotPetya?

Як Bad Rabbit зумів викликати перебої в роботі великих ЗМІ, якщо справа була у фальшивих оновленнях для Flash? За даними ESET , Emsisoftі Fox-ITПісля зараження шкідливість задіяв утиліту Mimikatz для вилучення паролів з LSASS, а також мав список найбільш поширених логінів і паролів. Все це шкідливість задіяв, щоб за допомогою SMB та WebDAV поширитися на інші сервери та робочі станції, що знаходяться в одній мережі із зараженим пристроєм. При цьому експерти перерахованих вище компаній та співробітники Cisco Talos вважають, що в даному випадку обійшлося без вкраденого у спецслужб інструменту, що використовує проломи в SMB. Нагадаю, що віруси WannaCry та NotPetya поширювалися за допомогою саме цього експлоїту.

Втім, фахівцям все ж таки вдалося виявити деяку подібність між Bad Rabbit і Petya (NotPetya). Так, здирник не просто зашифровує файли користувача, використовуючи опенсорсний DiskCryptor , але модифікує MBR (Master Boot Record), після чого перезавантажує комп'ютер і виводить на екран повідомлення з вимогою викупу.

Хоча повідомлення з вимогами зловмисників практично ідентичне посланню від операторів NotPetya, думки експертів щодо зв'язку між Bad Rabbit та NotPetya трохи розходяться. Так, аналітики компанії Intezer підрахували, що вихідний кодшкідників

Може бути провісником третьої хвилі вірусів-шифрувальників, вважають у «Лабораторії Касперського». Першими двома були гучні WannaCry і Petya (він же NotPetya). Про виникнення нової мережевої шкоди та про те, як захиститися від його потужної атаки, «СВІТ 24» розповіли експерти з кібербезпеки.

Здебільшого постраждалі від атаки Bad Rabbit («Поганого кролика») перебувають у Росії. На території України, Туреччини та Німеччини їх значно менше, зазначив керівник відділу антивірусних досліджень «Лабораторії Касперського» В'ячеслав Закоржевський. Ймовірно, другим за активністю виявилися ті країни, де користувачі активно стежать за російськими інтернет-ресурсами.

Коли шкідлива програма заражає комп'ютер, вона шифрує файли. Поширюється вона за допомогою веб-трафіку зі зламаних інтернет-ресурсів, серед яких опинилися переважно сайти федеральних російських ЗМІ, а також комп'ютери та сервери київського метрополітену, українського міністерства інфраструктури, міжнародного аеропорту "Одеса". Зафіксовано невдалу спробу атакувати російські банки з топ-20.

Про те, що «Фонтанку», «Інтерфакс» та низку інших видань атакували Bad Rabbit, повідомила вчора компанія Group-IB – вона спеціалізується на інформаційної безпеки. Аналіз коду вірусу показав, що Bad Rabbit пов'язаний із шифрувальником Not Petya, який у червніцього року атакував енергетичні, телекомунікаційні та фінансові компанії в Україні.

Атака готувалася кілька днів і, незважаючи на масштаби зараження, здирники вимагали від жертв атаки порівняно невеликі суми - 0,05 біткойна (це близько 283 доларів або 15 700 рублів). На викуп приділяється 48 годин. Після закінчення цього терміну зростає сума.

Фахівці Group-IB вважають, що, швидше за все, хакери не мають наміру заробити. Їхня ймовірна мета - перевірити рівень захисту мереж критичної інфраструктури підприємств, державних відомств та приватних компаній.

Стати жертвою атаки легко

Коли користувач заходить на заражений сайт, шкідливий код передає інформацію про нього на віддалений сервер. Далі з'являється спливаюче вікно з пропозицією завантажити оновлення для Flash Player, яке є фальшивим. Якщо користувач схвалив операцію «Install/Встановити», на комп'ютер завантажиться файл, який запустить у системі шифратор Win32/Filecoder.D. Далі доступ до документів буде заблоковано, на екрані з'явиться повідомлення про викуп.

Вірус Bad Rabbit сканує мережу на предмет відкритих мережевих ресурсів, після чого запускає на зараженій машині інструмент для збору облікових даних і цією поведінкою відрізняється від своїх попередників.

Фахівці міжнародного розробника антивірусного програмного забезпечення Eset NOD 32 підтвердили, що Bad Rabbit – це нова модифікація. вірусу Petya, принцип дії якого був таким самим - вірус шифрував інформацію і вимагав викуп у біткоїнах (сума була порівнянна з Bad Rabbit - 300 доларів). У новій шкідливій програмі виправлено помилки у шифруванні файлів. Код, використаний у вірусі, призначений для шифрування логічних дисків, зовнішніх USB-накопичувачів та образів CD/DVD, а також системних завантажувальних розділів диска.

Говорячи про аудиторію, яка зазнала атак Bad Rabbit, керівник підтримки продажів ESET Russia Віталій Земськихзаявив про те, що 65% атак, зупинених антивірусними продуктами компанії, припадають на Росію. В іншому географія нового вірусу виглядає так:

Україна – 12,2%

Болгарія – 10,2%

Туреччина – 6,4%

Японія – 3,8%

інші – 2,4%

«Вимагач використовує відоме програмне забезпеченняз відкритим кодом під назвою DiskCryptor для шифрування дисків жертви. Екран повідомлення про блокування, який бачить користувач, майже ідентичний екранам блокування Petya та NotPetya. Тим не менш, це єдина подібність, яку ми спостерігали досі між двома шкідниками. У всіх інших аспектах BadRabbit - абсолютно новий і унікальний вид здирника», - вважає технічний директор компанії Check Point Software Technologies Микита Дуров.

Як захиститись від Bad Rabbit?

Власники операційних систем, Відмінних від Windows, можуть полегшено зітхнути, так як новий вірус-шифрувальник робить вразливими тільки комп'ютери з цією «віссю».

Для захисту від мережевого шкідника фахівці рекомендують створити на своєму комп'ютері файл C:\windows\infpub.dat, при цьому встановити для нього права "тільки для читання" - це нескладно зробити в розділі адміністрування. Таким чином ви заблокуєте виконання файлу, і всі документи, що надходять ззовні, не будуть зашифровані навіть у тому випадку, якщо виявляться зараженими. Щоб не втратити цінних даних у разі зараження вірусом, вже зараз зробіть бекап (резервну копію). І, зрозуміло, варто пам'ятати, що виплата викупу - пастка, яка не гарантує розблокування комп'ютера.

Нагадаємо, вірус у травні цього року поширився не менш ніж у 150 країнах світу. Він шифрував інформацію та вимагав заплатити викуп, за різними даними, від 300 до 600 доларів. Від нього постраждали понад 200 тисяч користувачів. За однією з версій його творці взяли за основу шкідливу програму АНБ США Eternal Blue.

З експертами спілкувалася Алла Смирнова