Главная › Услуги › Как защититься от нового вируса-вымогателя Bad Rabbit. «Кролик» вышел на охоту: как вирус‐шифровальщик вымогает деньги у российских банков

Как защититься от нового вируса-вымогателя Bad Rabbit. «Кролик» вышел на охоту: как вирус‐шифровальщик вымогает деньги у российских банков

Приветствую Вас, дорогие посетители и гости данного блога! Сегодня в мире появился очередной вирус-шифровальщик по имени: «Bad Rabbit » — «Злобный кролик «. Это уже третий нашумевший шифровальщик за 2017 год. Предыдущие были и (он же NotPetya).

Bad Rabbit — Кто уже пострадал и много ли требует денег?

Пока что предположительно от этого шифровальщика пострадали несколько российских медиа - среди них Интерфакс и Фонтанка. Также о хакерской атаке - возможно, связанной с тем же Bad Rabbit, - сообщает аэропорт Одессы.

За расшифровку файлов злоумышленники требуют 0,05 биткойна, что по современному курсу примерно эквивалентно 283 долларам или 15 700 рублям.

Результаты исследования «Лаборатории Касперского» говорят о том, что в атаке не используются эксплойты. Bad Rabbit распространяется через зараженные веб-сайты: пользователи скачивают фальшивый установщик Adobe Flash, вручную запускают его и тем самым заражают свои компьютеры.

Как сообщает «Лаборатория Касперского» — эксперты расследуют эту атаку и ищут способы борьбы с ним, а так же ищут возможность дешифровки файлов, пострадавших от шифровальщика.

Большая часть пострадавших от атаки находятся в России. Так же известно, что похожие атаки происходят в Украине, Турции и Германии, но в гораздо меньшем количестве. Шифровальщик Bad Rabbit распространяется через ряд заражённых сайтов российских СМИ.

«Лаборатория Каперского» считает, что все признаки указывают на то, что это целенаправленная атака на корпоративные сети. Используются методы, похожие на те, что мы наблюдали в атаке ExPetr, однако связь с ExPetr мы подтвердить не можем.

Уже известно, что продукты «Лаборатории Касперского» детектируют один из компонентов зловреда с помощью облачного сервиса Kaspersky Security Network как UDS:DangerousObject.Multi.Generic, а также с помощью System Watcher как PDM:Trojan.Win32.Generic.

Как защитить себя от вируса Bad Rabbit?

Чтобы не стать жертвой новой эпидемии «Плохого кролика», «Лаборатория Касперского » рекомендуем сделать следующее:

Если у вас установлен Антивирус Касперского, то:

Проверьте, включены ли в вашем защитном решении компоненты Kaspersky Security Network и «Мониторинг активности» (он же System Watcher). Если нет - обязательно включите.

Для тех, у кого нет данного продукта:

Заблокируйте исполнение файла c:\windows\infpub.dat, C:\Windows\cscc.dat. Это можно сделать через .
Запретите (если это возможно) использование сервиса WMI.

Еще очень важный совет от меня:

Всегда делайте backup (бекап — резервная копия ) важных Вам файлов. На съемном носителе, в облачных сервисах! Это сбережет ваши нервы, деньги и время!

Желаю вам не подхватит эту заразу к себе на ПК. Чистого и безопасного Вам интернета!

Несколько российских СМИ и украинских организаций подверглись атаке шифровальщика Bad Rabbit. В частности, хакеры атаковали три российских СМИ, среди которых «Интерфакс» и «Фонтанка».

24 октября началась новая масштабная кибер-атака с использованием вируса-шифровальщика Bad Rabbit. Зловред поразил компьютерные сети Киевского метрополитена, Министерства инфраструктуры, Международного аэропорта “Одесса”. Несколько жертв оказались и в России - в результате атаки пострадали редакции федеральных СМИ, таких как «Интерфакс» и «Фонтанка».

Kill Switch: необходимо создать файл C:\windows\infpub.dat и выставить ему права «только для чтения». В этом случае даже при заражении файлы не будут зашифрованы.

Вероятнее всего вирус распространяется через взломанные веб-сайты, предлагая пользователям установить обновление флеш-плеера:

Предварительный анализ показывает, что зловред распространяется через ряд заражённых сайтов российских СМИ. Все признаки указывают на то, что это целенаправленная атака на корпоративные сети.

После проникновения на компьютер жертвы вредоносная программа шифрует пользовательские файлы. Для восстановления доступа к закодированным данным предлагается заплатить выкуп в размере 0,05 биткойна, что по современному курсу примерно эквивалентно 283 долларам США или 15 700 рублям. При этом злоумышленники предупреждают, что в случае промедления цена за расшифровку вырастет.

Подробности о схеме распространения Bad Rabbit пока отсутствуют. Не ясно и то, можно ли расшифровать файлы. Но уже известно, что большинство жертв атаки находятся в России. Кроме того, похожие нападения зафиксированы в Украине, Турции и Германии, но в значительно меньшем количестве.

О хакерской атаке сообщила и пресс-служба Киевского метрополитена. Хакерам удалось нарушить возможность оплаты проезда с помощью бесконтактных банковских карточек. «Внимание! Кибератака! Метро работает в обычном режиме, кроме банковских сервисов (оплата бесконтактными банковскими карточками на желтом турникете или MasterPass)», - сообщается в официальном аккаунте киевского метро в Facebook.

Злоумышленники просят своих жертв перейти по ссылке ведущей на TOR-сайт , на котором запускается автоматический счетчик. После оплаты, по заверениям злоумышленников, жертва должна получить персональный ключ к расшифровке.

Пока неизвестны способы распространения и закрепление в системе, а также нет достоверной информации о наличии ключей расшифровки.

Сотрудники Лаборатории Касперского рекомендуют следующие действия:

Заблокируйте исполнение файла c:\windows\infpub.dat, C:\Windows\cscc.dat.
Запретите (если это возможно) использование сервиса WMI.

Пост будет обновлен по мере поступления информации.

Вирус-шифровальщик, известный как Bad Rabbit, атаковал десятки тысяч компьютеров на Украине, в Турции и Германии. Но больше всего атак пришлось на Россию. Что это за вирус и как защитить свой компьютер, рассказываем в нашей рубрике "Вопрос-ответ".

Кто пострадал в России от Bad Rabbit?

Вирус-шифровальщик Bad Rabbit начал распространяться 24 октября. В числе пострадавших от его действия значатся информагентство "Интерфакс", издание "Фонтанка.ру".

Также от действий хакеров пострадали метрополитен Киева и аэропорт Одессы. После стало известно о попытке взлома системы нескольких российских банков из топ-20.

По всем признакам это целенаправленная атака на корпоративные сети, поскольку используются методы, похожие на те, что наблюдались при атаке вируса ExPetr.

Новый вирус всем предъявляет одно требование: выкуп 0,05 биткоина. В пересчете на рубли это около 16 тысяч рублей. При этом он сообщает, что время на исполнение этого требования ограничено. На все про все дается чуть больше 40 часов. Далее плата за выкуп повысится.

Что это за вирус и как он работает?

Удалось уже выяснить, кто стоит за его распространением?

Выяснить, кто стоит за этой атакой, пока не удалось. Расследование только привело программистов к доменному имени.

Специалисты антивирусных компаний отмечают сходство нового вируса с вирусом Petya.

Но, в отличие от прошлых вирусов этого года, в этот раз хакеры решили пойти простым путем, сообщает 1tv.ru .

"По-видимому, преступники ожидали, что в большинстве компаний пользователи обновят свои компьютеры после двух этих атак, и решили испробовать достаточно дешевое средство - социальную инженерию, чтобы первое время относительно незаметно заражать пользователей", – сообщил руководитель отдела антивирусных исследований "Лаборатории Касперского" Вячеслав Закоржевский.

Как защитить свой компьютер от вируса?

Обязательно сделайте резервную копию вашей системы. Если вы используете для защиты Касперский, ESET, Dr.Web либо другие популярные аналоги, следует оперативно обновить базы данных. Также для Касперского необходимо включить "Мониторинг активности" (System Watcher), а в ESET применить сигнатуры с обновлением 16295, информирует talkdevice .

Если у вас нет антивирусников, заблокируйте исполнение файлов C:\Windows\infpub.dat и C:\Windows\cscc.dat. Делается это через редактор групповых политик либо программу AppLocker для Windows.

Запретите выполнение службы - Windows Management Instrumentation (WMI). Через правую кнопку войдите в свойства службы и выберите в "Тип запуска" режим "Отключена".

Может быть предвестником третьей волны вирусов-шифровальщиков, полагают в «Лаборатории Касперского». Первыми двумя были нашумевшие WannaCry и Petya (он же NotPetya). О возникновении нового сетевого зловреда и о том, как защититься от его мощной атаки, «МИР 24» рассказали эксперты по кибербезопасности.

В основном пострадавшие от атаки Bad Rabbit («Плохого кролика») находятся в России. На территории Украины, Турции и Германии их значительно меньше, отметил руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский . Вероятно, вторыми по активности оказались те страны, где пользователи активно следят за российскими интернет-ресурсами.

Когда вредоносная программа заражает компьютер, она шифрует на нем файлы. Распространяется она с помощью веб-трафика с взломанных интернет-ресурсов, среди которых оказались преимущественно сайты федеральных российских СМИ, а также компьютеры и серверы киевского метрополитена, украинского министерства инфраструктуры, международного аэропорта «Одесса». Зафиксирована и неудачная попытка атаковать российские банки из топ-20.

О том, что «Фонтанку», «Интерфакс» и ряд других изданий атаковал Bad Rabbit, сообщила вчера компания Group-IB – она специализируется на информационной безопасности. Анализ кода вируса показал, что Bad Rabbit связан с шифровальщиком Not Petya, который в июне этого года атаковал энергетические, телекоммуникационные и финансовые компании на Украине.

Атака готовилась несколько дней и, несмотря на масштабы заражения, вымогатели требовали от жертв атаки сравнительно небольшие суммы - 0,05 биткойна (это около 283 долларов или 15 700 рублей). На выкуп отводится 48 часов. После истечения этого срока сумма возрастает.

Специалисты Group-IB полагают, что, скорее всего, у хакеров нет намерения заработать. Их вероятная цель - проверить уровень защиты сетей критической инфраструктуры предприятий, государственных ведомств и частных компаний.

Стать жертвой атаки легко

Когда пользователь заходит на зараженный сайт, вредоносный код передает информацию о нем на удаленный сервер. Далее появляется всплывающее окно с предложением загрузить обновление для Flash Player, которое является фальшивым. Если пользователь одобрил операцию «Install/Установить», на компьютер загрузится файл, который в свою очередь запустит в системе шифратор Win32/Filecoder.D. Далее доступ к документам будет заблокирован, на экране появится сообщение о выкупе.

Вирус Bad Rabbit сканирует сеть на предмет открытых сетевых ресурсов, после чего запускает на зараженной машине инструмент для сбора учетных данных и этим «поведением» отличается от своих предшественников.

Специалисты международного разработчика антивирусного программного обеспечения Eset NOD 32 подтвердили, что Bad Rabbit – новая модификация вируса Petya, принцип действия которого был таким же - вирус шифровал информацию и требовал выкуп в биткоинах (сумма была сопоставимой с Bad Rabbit - 300 долларов). В новой вредоносной программе исправлены ошибки в шифровании файлов. Код, использованный в вирусе, предназначен для шифрования логических дисков, внешних USB-накопителей и образов CD/DVD, а также загрузочных системных разделов диска.

Говоря об аудитории, которая подверглась атакам Bad Rabbit, руководитель поддержки продаж ESET Russia Виталий Земских заявил о том, что 65% атак, остановленных антивирусными продуктами компании, приходятся на Россию. В остальном география нового вируса выглядит так:

Украина – 12,2%

Болгария – 10,2%

Турция – 6,4%

Япония – 3,8%

другие – 2,4%

«Вымогатель использует известное программное обеспечение с открытым кодом под названием DiskCryptor для шифрования дисков жертвы. Экран сообщения о блокировке, который видит пользователь, почти идентичен экранам блокировки Petya и NotPetya. Тем не менее, это единственное сходство, которое мы наблюдали до сих пор между двумя зловредами. Во всех других аспектах BadRabbit - совершенно новый и уникальный вид вымогателя», - полагает в свою очередь технический директор компании Check Point Software Technologies Никита Дуров .

Как защититься от Bad Rabbit?

Обладатели операционных систем, отличных от Windows, могут облегченно вздохнуть, так как новый вирус-шифровальщик делает уязвимыми только компьютеры с этой «осью».

Для защиты от сетевого зловреда специалисты рекомендуют создать на своем компьютере файл C:\windows\infpub.dat, при этом установить для него права «только для чтения» - это несложно сделать в разделе администрирования. Таким образом вы заблокируете исполнение файла, и все поступающие извне документы не будут зашифрованы даже в том случае, если окажутся зараженными. Чтобы не потерять ценные данные в случае заражения вирусом, уже сейчас сделайте бэкап (резервную копию). И, разумеется, стоит помнить, что выплата выкупа – ловушка, не гарантирующая вам разблокировку компьютера.

Напомним, вирус в мае этого года распространился не менее чем в 150 странах мира. Он шифровал информацию и требовал заплатить выкуп, по разным данным, от 300 до 600 долларов. От него пострадали свыше 200 тысяч пользователей. По одной из версий, его создатели взяли за основу вредоносную программу АНБ США Eternal Blue.

С экспертами общалась Алла Смирнова