
Дізнайтесь більше про нові кар'єрні можливості в EchoUA. Цікаві проекти, ринкова оплата, гарний колектив. Надсилайте резюме та приєднуйтеся до нас.
Однією з перших, хто повідомив про атаку нового вірусу-шифратора Bad Rabbit, що розгортається, стала компанія Group-IB:
Зафіксована атака на ЗМІ вірусом-шифрувальником. Group – IB стало відомо, як мінімум про три потерпілих редакції. Досліджуємо. #BadRabbit pic.twitter.com/kJ09APag3I
– Group – IB (@GroupIB) October 24, 2017
Хто постраждав?
Першими, кого наздогнало поширення вірусу, стали видавничі агентства “Інтерфакс” і “Фонтанка.ру”. Співробітники компаній звернулися до Group – IB, розповівши, що спостерігається збій в роботі серверів. Також було встановлено, що зараження комп’ютерних мереж сталося і в Україні, а саме: в Київському метро, Одеському аеропорту і в деяких українських міністерствах.
Як поширюється?
Пізніше з’ясувалося, що зараження Windows-машин відбувається при відвідуванні скомпрометованих веб-сайтів, які пропонують скачати і встановити нову версію Adobe Flash Player. Після установки малварь починає діяти аналогічно своєму попередникові – вірусу Petya, але використовуючи його оновлену версію, що набула назви Diskcoder.D.
Попередній аналіз вірусу показав, що шкідливе ПЗ включає безліч функцій, спрямованих на швидке зараження великих корпоративних мереж. Дослідник проблем безпеки Кевін Бумон повідомив, що Bad Rabbit використовує законну програму DiskCryptor для шифрування жорстких дисків:
#BadRabbit uses a legit, signed program called DiskCryptor to lock out the victim hard drive. https://t.co/H4ofAO0TvY
– Beaumont Porg, Esq. (@GossiTheDog) October 24, 2017
Дану знахідку також підтвердили співробітники “Лабораторії Касперського”. Вони говорять, що виконуваний файл dispci.exe
отриманий саме з DiskCryptor і використовується як модуль шифрування дисків.
Бумон зауважив, що Bad Rabbit покладається на закодовані облікові дані, які зазвичай потрібні для спільного використання корпоративних мереж. Шкідливий файл з ім’ям infpub.dat
може використати облікові дані, дозволяючи Bad Rabbit поширюватися на інші комп’ютери Windows у тій самій локальній мережі, – погоджуються з Бумоном в “Лабораторії Касперського”.
Більше того, infpub.dat
знаходить файли жертви за допомогою вбудованого списку розширень і шифрує їх за допомогою загальнодоступного ключа RSA-2048. ESET також повідомила, що шкідливе ПЗ використовує засіб адміністрування мережі Mimikatz для збору облікових даних у вже заражених системах.
Гра престолів
Співробітники “Лабораторії Касперського” під час аналізу вірусу виявили цікаві відсилання до “Гри престолів”. Деякі з рядків, використовуваних в усьому коді, – це імена різних героїв цього твору.

Імена драконів з “Гри престолів”

Ім’я героя з “Гри престолів”
Що вимагає вірус?
Як і попередні версії вірусу, Bad Rabbit після перезавантаження робочої машини виведе на екран повідомлення про те, що всі важливі дані зашифровані й для їх розблокування необхідно переказати на рахунок вимагачів певну суму в біткойнах. Цього разу зловмисники вимагають 0,05 біткойна, що за нинішнього курсу становить близько $280 або 16 000 руб. Після 40 год. з моменту блокування сума збільшується.
Без відповіді залишається запитання: Що буде, якщо сплатити дешифрування даних? Багато фахівців сходяться на думці, що відповідь на нього буде такою ж, як і з Petya. Попередня версія була написана таким чином, що відновлення даних виявлялось практично неможливим. А справжня мета зловмисників полягала або в саботажі компаній, які атакувалися, з подальшим видаленням їхніх даних, а не в отриманні зиску, або у зборі конфіденційних даних для використання їх у подальших серйозніших атаках.
Як захиститися?
“Лабораторія Касперського” радить своїм клієнтам переконатися в тому, що всі механізми захисту мереж активовані відповідно до рекомендацій, а компоненти Kasperky Security Network і System Watcher не відключені. Необхідно також провести негайне оновлення антивірусних баз.
Як додаткові запобіжні заходи компанія рекомендує:
- Обмежити виконання файлів, розташованих у
З: windowsinfpub.dat
іC:Windowscscc.dat
в Kaspersky Endpoint Security; - Настроїти режим Default Deny, що забороняє виконання коду за умовчанням, для проактивного захисту.
Компанія Microsoft оновила список рекомендацій для відвертання зараження Windows-комп’ютерів вірусом Bad Rabbit. Ми також радимо слідувати запропонованій нами інструкції. Важливо пам’ятати: якщо Ви все-таки впіймали вірус, у жодному разі не перезавантажуйте комп’ютер! Процес шифрування починається саме в момент включення пристрою.
Оновлено 25.10 в 17: 25. Основна хвиля атаки вірусу-шифрувальника Bad Rabbit, що атакував російські ЗМІ та українські організації, припинилася. Про це ТАСС розповів заступник голови Group – IB Сергій Нікітін.
Джерело: Ars Technica
Київ, Харків, Одеса, Дніпро, Запоріжжя, Кривий Ріг, Вінниця, Херсон, Черкаси, Житомир, Хмельницький, Чернівці, Рівне, Івано-Франківськ, Кременчук, Тернопіль, Луцьк, Ужгород, Кам'янець-Подільський, Стрий - за статистикою саме з цих міст програмісти найбільше переїжджають працювати до Львова. А Ви розглядаєте relocate?