Сегодня мы рассмотрим: Настоящие ценители музыки знают, что для качественного...
24 октября многих пользователей в Украине и России «навестил пасхальный кролик». Только он принес не подарки и радость, а огромное количество проблем. Да и назвали его соответственно - Bad Rabbit (или как пишут некоторые специалисты - BadRabbit). Именно под таким названием начал распространяться очередной вирус-шифровальщик.
Кто пострадал?
Первые сведения об атаке появились 24 октября сутра. Пострадали многие госкомпании в Украине (Киевский метрополитен, Одесский аэропорт) и России, а также некоторые СМИ. Также атакам подверглись и финучреждения, но злоумышленникам не удалось нанести им вред. В свою очередь, представители компании ESET сообщили, что проблемы возникли не только в России и Украине, но также в Турции, Японии и Болгарии.
После блокировки ПК малварь сообщала пользователю, что за разблокировку данных он должен перевести 0,05 биткоина (эквивалентно 280 USD) на счет злоумышленников.
Как распространяется?
Точных данных о способе распространения зловреда не было ничего известно. В компании Group-IB отметили, что атака готовилась несколько дней (хотя по мнению представителя «Лаборатории Касперского» Костина Райю подготовка заняла намного больше времени).
Однако, уже сегодня известно, что зловред распространялся под видом обычных обновлений Adobe Flash, не задействуя брешь в SMB, которой ранее пользовались шифровальщики WannaCry и NotPetya. Но и тут мнения специалистов расходятся.
В Group-IB считают , что Bad Rabbit - модификация NotPetya, в которой хакерам удалось исправить ошибки в алгоритме шифрования. В то же время представители Intezer отмечают, что вредоносный код идентичен только на 13%.
В ESET и «Лаборатории Касперского» заняли достаточно интересную позицию: в компаниях не исключают, что «злой кролик» может быть последователем NotPetya, но прямых заявлений по этому поводу не делают.
Как защитить компьютер?
На данный момент распространение шифровальщика уже прекращено, но специалисты отмечают, что стоит позаботиться о защите своих ПК от заражения. Для этого создайте файлы:
- C:\Windows\infpub.dat и C:\Windows\cscc.dat;
- снимите с них все разрешения на выполнение (заблокируйте).
I can confirm — Vaccination for
Может быть предвестником третьей волны вирусов-шифровальщиков, полагают в «Лаборатории Касперского». Первыми двумя были нашумевшие WannaCry и Petya (он же NotPetya). О возникновении нового сетевого зловреда и о том, как защититься от его мощной атаки, «МИР 24» рассказали эксперты по кибербезопасности.
В основном пострадавшие от атаки Bad Rabbit («Плохого кролика») находятся в России. На территории Украины, Турции и Германии их значительно меньше, отметил руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский . Вероятно, вторыми по активности оказались те страны, где пользователи активно следят за российскими интернет-ресурсами.
Когда вредоносная программа заражает компьютер, она шифрует на нем файлы. Распространяется она с помощью веб-трафика с взломанных интернет-ресурсов, среди которых оказались преимущественно сайты федеральных российских СМИ, а также компьютеры и серверы киевского метрополитена, украинского министерства инфраструктуры, международного аэропорта «Одесса». Зафиксирована и неудачная попытка атаковать российские банки из топ-20.
О том, что «Фонтанку», «Интерфакс» и ряд других изданий атаковал Bad Rabbit, сообщила вчера компания Group-IB – она специализируется на информационной безопасности. Анализ кода вируса показал, что Bad Rabbit связан с шифровальщиком Not Petya, который в июне этого года атаковал энергетические, телекоммуникационные и финансовые компании на Украине.
Атака готовилась несколько дней и, несмотря на масштабы заражения, вымогатели требовали от жертв атаки сравнительно небольшие суммы - 0,05 биткойна (это около 283 долларов или 15 700 рублей). На выкуп отводится 48 часов. После истечения этого срока сумма возрастает.
Специалисты Group-IB полагают, что, скорее всего, у хакеров нет намерения заработать. Их вероятная цель - проверить уровень защиты сетей критической инфраструктуры предприятий, государственных ведомств и частных компаний.
Стать жертвой атаки легко
Когда пользователь заходит на зараженный сайт, вредоносный код передает информацию о нем на удаленный сервер. Далее появляется всплывающее окно с предложением загрузить обновление для Flash Player, которое является фальшивым. Если пользователь одобрил операцию «Install/Установить», на компьютер загрузится файл, который в свою очередь запустит в системе шифратор Win32/Filecoder.D. Далее доступ к документам будет заблокирован, на экране появится сообщение о выкупе.
Вирус Bad Rabbit сканирует сеть на предмет открытых сетевых ресурсов, после чего запускает на зараженной машине инструмент для сбора учетных данных и этим «поведением» отличается от своих предшественников.
Специалисты международного разработчика антивирусного программного обеспечения Eset NOD 32 подтвердили, что Bad Rabbit – новая модификация вируса Petya, принцип действия которого был таким же - вирус шифровал информацию и требовал выкуп в биткоинах (сумма была сопоставимой с Bad Rabbit - 300 долларов). В новой вредоносной программе исправлены ошибки в шифровании файлов. Код, использованный в вирусе, предназначен для шифрования логических дисков, внешних USB-накопителей и образов CD/DVD, а также загрузочных системных разделов диска.
Говоря об аудитории, которая подверглась атакам Bad Rabbit, руководитель поддержки продаж ESET Russia Виталий Земских заявил о том, что 65% атак, остановленных антивирусными продуктами компании, приходятся на Россию. В остальном география нового вируса выглядит так:
Украина – 12,2%
Болгария – 10,2%
Турция – 6,4%
Япония – 3,8%
другие – 2,4%
«Вымогатель использует известное программное обеспечение с открытым кодом под названием DiskCryptor для шифрования дисков жертвы. Экран сообщения о блокировке, который видит пользователь, почти идентичен экранам блокировки Petya и NotPetya. Тем не менее, это единственное сходство, которое мы наблюдали до сих пор между двумя зловредами. Во всех других аспектах BadRabbit - совершенно новый и уникальный вид вымогателя», - полагает в свою очередь технический директор компании Check Point Software Technologies Никита Дуров .
Как защититься от Bad Rabbit?
Обладатели операционных систем, отличных от Windows, могут облегченно вздохнуть, так как новый вирус-шифровальщик делает уязвимыми только компьютеры с этой «осью».
Для защиты от сетевого зловреда специалисты рекомендуют создать на своем компьютере файл C:\windows\infpub.dat, при этом установить для него права «только для чтения» - это несложно сделать в разделе администрирования. Таким образом вы заблокируете исполнение файла, и все поступающие извне документы не будут зашифрованы даже в том случае, если окажутся зараженными. Чтобы не потерять ценные данные в случае заражения вирусом, уже сейчас сделайте бэкап (резервную копию). И, разумеется, стоит помнить, что выплата выкупа – ловушка, не гарантирующая вам разблокировку компьютера.
Напомним, вирус в мае этого года распространился не менее чем в 150 странах мира. Он шифровал информацию и требовал заплатить выкуп, по разным данным, от 300 до 600 долларов. От него пострадали свыше 200 тысяч пользователей. По одной из версий, его создатели взяли за основу вредоносную программу АНБ США Eternal Blue.
С экспертами общалась Алла Смирнова
Одноклассники
Буквально на днях на территории России и Украины, Турции, Германии, а также Болгарии началась масштабная хакерская атака новым вирусом-шифровальщиком Bad Rabbit, он же Diskcoder.D. Вирус в настоящий момент атакует корпоративные сети больших и средних организаций, блокируя все сети. Сегодня мы расскажем что из себя представляет этот троян и как можно обезопасить себя от него.
Вирус Bad Rabbit (Плохой Кролик) работает по стандартной для шифровальщиков схеме: попадая в систему, он кодирует файлы, за расшифровку которых хакеры требуют 0,05 биткоина, что по курсу составляет 283$ (или 15 700 руб). Об этом сообщается отдельным окном, куда собственно и нужно вводить приобретенный ключ. Угроза относится к типу троянов Trojan.Win32.Generic, но в нем есть и другие компоненты, такие как DangerousObject.Multi.Generic и Ransom.Win32.Gen.ftl.
Полностью отследить все источники заражения пока трудно, однако эксперты этим сейчас занимаются.
Предположительно угроза попадает на ПК через зараженные сайты, настроенных на перенаправление, или под видом фейковых обновлений для популярных плагинов типа Adobe Flash. Перечень таких сайтов пока только увеличивается.
Сразу нужно отметить, что в данный момент все антивирусные лаборатории принялись за анализ этого трояна. Если конкретно искать информацию по удалению вируса, то её, как таковой, не существует. Отбросим сразу стандартные советы, типа сделайте бекап системы, точку возврата, удалите определенные файлы. Если у вас нет сохранений, то все остальное не работает, хакеры эти моменты, в силу спецификации вируса, просчитали.
Есть вероятность, что вскоре будут распространятся сделанные аматорами дешифраторы для Bad Rabbit - вестись на эти программки или нет - ваше личное дело. Как продемонстрировал прошлый шифровальщик Petya, это мало кому помогает.
А вот предупредить угрозу и удалить её во время попытки залезть в ПК реально. Первыми на новость о вирусной эпидемии отреагировали лаборатории Kaspersky и ESET, которые уже в настоящий момент блокируют попытки проникновения.
Браузер Google Chrome в том числе стал выявлять зараженные ресурсы и предупреждать об их опасности. Вот что необходимо сделать для защиты от BadRabbit прежде всего:
1. Если вы используете для защиты Касперский, ESET, Dr.Web, или другие известные аналоги, то вам нужно обязательно выполнить обновление баз данных. Для Касперского, в том числе нужно включить «Мониторинг активности» (System Watcher), а в ESET примените сигнатуры с обновлением 16295.
2. Если вы не пользуетесь антивирусами, тогда нужно заблокировать исполнение файлов C:\Windows\infpub.dat и C:\Windows\cscc.dat. Делается это с помощью редактора групповых политик, или программки AppLocker для Windows.
3. По возможности стоит запретить выполнение службы - Windows Management Instrumentation (WMI). В 10-й версии служба называется «Инструментарий управления Windows». С помощью правой кнопки войдите в свойства службы и выберите в «Тип запуска» режим «Отключена».
Обязательно необходимо сделать резервную копию вашей системы. В идеале, копия должна всегда храниться на подключаемом носителе.
В завершении нужно отметить самое основное - не стоит платить выкуп, что бы у вас ни было зашифровано. Такого рода действия только подстрекают мошенников создавать новые вирусные атаки. Отслеживайте форумы антивирусных компаний, которые, я надеюсь, вскоре изучат вирус Bad Rabbit и найдут нужное решение. В обязательном порядке выполните вышеописанные пункты по защите вашей ОС. В случае возникновения трудностей при их выполнении, отпишитесь в комментариях.
Во вторник атаке вируса-вымогателя Bad Rabbit подверглись компьютеры в РФ, на Украине, в Турции и Германии. Вирус удалось быстро блокировать, однако специалисты по компьютерной безопасности предупреждают о приближении нового "киберурагана".
Вирусные атаки начались в середине дня на Украине: вирус поразил компьютерные сети Киевского метрополитена, министерства инфраструктуры, международного аэропорта Одессы. Bad Rabbit шифровал файлы на компьютерах и требовал выкуп в размере 0,05 биткойна.
Чуть позже атакам подверглись российское информационное агентство "Интерфакс" и сервер петербургского новостного портала "Фонтанка", в результате чего эти два СМИ были вынуждены остановить работу. По данным компании Group-IB, работающей в сфере расследования киберпреступлений, во вторник с 13:00 до 15:00 мск Bad Rabbit пытался также атаковать крупные российские банки, но безуспешно. Компания ESET сообщила, что вирусные атаки затронули пользователей из Болгарии, Турции и Японии.
Bad Rabbit распространялся под видом фальшивых обновлений и установщиков Adobe Flash. При этом фальшивки были подписаны поддельными сертификатами, имитирующими сертификаты компании Symantec.
Спустя всего несколько часов после начала атаки анализ вируса осуществили едва ли не все крупнейшие компании в сфере интернет-безопасности. Специалисты ESET, Proofpoint и "Лаборатории Касперского" выяснили, что Bad Rabbit распространялся под видом фальшивых обновлений и установщиков Adobe Flash. При этом фальшивки были подписаны поддельными сертификатами, имитирующими сертификаты компании Symantec.
Bad Rabbit распространяли сразу несколько взломанных сайтов, в основном принадлежащих СМИ. Установлено также, что атака готовилась несколько дней: последние обновления программы были сделаны еще 19 октября 2017 года.
Наследник "Пети"
Это третья глобальная атака вирусов-вымогателей в этом году. 12 мая вирус WannaCry заразил более 300 тысяч компьютеров в 150 странах мира. WannaCry шифровал файлы пользователей, за расшифровку вымогатели требовали заплатить 600 долларов в криптовалюте биткойн. От вирусных атак, в частности, пострадали Национальная система здравоохранения Великобритании, испанская телекоммуникационная компания Telefonica, российские МЧС, МВД, РЖД, Сбербанк, "Мегафон" и "Вымпелком".
Общий ущерб от WannaCry превысил 1 млрд долларов. При этом, по данным американских экспертов, вымогатели получили всего 302 платежа на общую сумму 116,5 тысяч долларов.
Специалисты установили, что WannaCry был сделан на основе хакерской программы EternalBlue, созданной в АНБ США и украденной хакерами. Президент Microsoft Брэд Смит в связи с этим заявил, что массовая атака вируса WannaCry стала возможной из-за того, что ЦРУ и Агентство национальной безопасности (АНБ) США в своих интересах собирают данные об уязвимостях в программном обеспечении.
Атака WannaCry выявляет тревожную связь между двумя самыми серьезными формами киберугроз − действиями государств и преступных групп.
Брэд Смит
президент Microsoft
27 июня 2017 года начались атаки вируса-шифровальщика NotPetya. Вирус распространялся через ссылки в сообщениях электронной почты и блокировал доступ пользователя к жесткому диску компьютера. Как и в случае с WannaCry, хакеры требовали выкуп за восстановление работоспособности компьютера, но на этот раз только 300 долларов в биткойнах.
От атаки NotPetya пострадали десятки российских компаний, в том числе "Роснефть", "Башнефть", "Евраз", российские офисы компаний Mars, Mondeles и Nivea. На Украине вирусной атаке подверглись компьютеры "Киевэнерго", "Укрэнерго", Ощадбанка, концерна "Антонов" и Чернобыльской АЭС. Как и WannaCry, NotPetya был создан на основе инструмента EternalBlue, разработанного в АНБ США.
По мнению экспертов, автором нового вируса-шифровальщика BadRabbit могли быть тот же хакер или группа хакеров, которые написали NotPetya: в коде обоих вирусов обнаружены совпадающие фрагменты. Аналитики компании Intezer подсчитали, что исходный код двух вирусов совпадает на 13%.
Bad Rabbit является модифицированной версией NotPetya с исправленными ошибками в алгоритме шифрования.
Компания Group-IB
Специалисты ESET и "Лаборатории Касперского" также допускают, что Bad Rabbit может являться прямым "наследником" NotPetya, однако отмечают, что в "Плохом кролике" в отличие от двух предыдущих вирусов-вымогателей не используется инструмент EternalBlue.
Как защититься от "Плохого кролика"
Специалисты по интернет-безопасности сообщают, что распространение Bad Rabbit уже прекращено, однако советуют предпринять меры безопасности. Group-IB дала в своем Telegram-канале рекомендации, что делать, чтобы вирус не смог зашифровать ваши файлы.
Необходимо создать файл C:\windows\infpub.dat и поставить ему права "только для чтения" <...> После этого даже в случае заражения файлы не будут зашифрованы.
Компания Group-IB
специализируется на расследованиях киберпреступлений
Чтобы избежать масштабного заражения, необходимо оперативно изолировать компьютеры, которые были замечены в пересылке подобных вредоносных файлов, отметили в компании. Кроме того, пользователям следует убедиться в актуальности и целостности резервных копий ключевых сетевых узлов.
Также рекомендуется обновить операционные системы и системы безопасности и при этом заблокировать IP-адреса и доменные имена, с которых происходило распространение вредоносных файлов. Кроме того, Group-IB рекомендует сменить все пароли на более сложные и включить блокировку всплывающих окон.
Худшее, возможно, впереди
За два дня до атаки "Плохого кролика" ведущая норвежская газета Dagbladet опубликовала большую статью, в которой предупреждала о приближении "кибершторма невиданной силы, который может отключить мировой интернет". "Наши исследования показывают, что сейчас затишье перед мощнейшей бурей. Надвигается киберураган", – цитирует Dagbladet сообщение израильской компании по защите от вирусов Check Point.
Согласно данным Check Point, неизвестные хакеры в настоящее время создают гигантскую бот-сеть Reaper, заражая такие подключенные к интернету устройства, как роутеры и даже фотокамеры. Специалисты компании подчеркивают, что в данном случае хакеры сосредоточились на "интернете вещей" − подключенных к Мировой паутине "умных" устройствах (от лампочек, дверных замков, видеокамер наблюдения до холодильников и кофеварок), которыми можно управлять через мобильные приложения или интернет.
Большая часть таких устройств (подключенных к интернету лампочек, видеокамер и т. п.) имеет громадные уязвимости. Товары обычно доставляются с фамилией пользователя и стандартным паролем, а программное обеспечение редко обновляется. Поэтому они очень уязвимы для хакерских атак.
специализируется на защите от вирусов
Специалисты компании в конце сентября обнаружили, что огромное количество подобных объектов было "завербовано" хакерами, чтобы распространить вирус на другие вещи. Таким образом, вирус распространяется все быстрее и уже заразил миллионы устройств во всем мире, включая большинство роутеров D-Link, Netgear и Linksys, а также соединенные с интернетом камеры наблюдения таких компаний, как Vacron, GoAhead и AVTech.
Бот-сеть Reaper пока не проявляла какой-либо активности, но китайская компания по защите от вирусов Qihoo 360 предупреждает, что вирус может активироваться в любой момент, результатом чего станет отключение больших участков интернета.
Вирус-шифровальщик, известный как Bad Rabbit, атаковал десятки тысяч компьютеров на Украине, в Турции и Германии. Но больше всего атак пришлось на Россию. Что это за вирус и как защитить свой компьютер, рассказываем в нашей рубрике "Вопрос-ответ".
Кто пострадал в России от Bad Rabbit?
Вирус-шифровальщик Bad Rabbit начал распространяться 24 октября. В числе пострадавших от его действия значатся информагентство "Интерфакс", издание "Фонтанка.ру".
Также от действий хакеров пострадали метрополитен Киева и аэропорт Одессы. После стало известно о попытке взлома системы нескольких российских банков из топ-20.
По всем признакам это целенаправленная атака на корпоративные сети, поскольку используются методы, похожие на те, что наблюдались при атаке вируса ExPetr.
Новый вирус всем предъявляет одно требование: выкуп 0,05 биткоина. В пересчете на рубли это около 16 тысяч рублей. При этом он сообщает, что время на исполнение этого требования ограничено. На все про все дается чуть больше 40 часов. Далее плата за выкуп повысится.
Что это за вирус и как он работает?
Удалось уже выяснить, кто стоит за его распространением?
Выяснить, кто стоит за этой атакой, пока не удалось. Расследование только привело программистов к доменному имени.
Специалисты антивирусных компаний отмечают сходство нового вируса с вирусом Petya.
Но, в отличие от прошлых вирусов этого года, в этот раз хакеры решили пойти простым путем, сообщает 1tv.ru .
"По-видимому, преступники ожидали, что в большинстве компаний пользователи обновят свои компьютеры после двух этих атак, и решили испробовать достаточно дешевое средство - социальную инженерию, чтобы первое время относительно незаметно заражать пользователей", – сообщил руководитель отдела антивирусных исследований "Лаборатории Касперского" Вячеслав Закоржевский.
Как защитить свой компьютер от вируса?
Обязательно сделайте резервную копию вашей системы. Если вы используете для защиты Касперский, ESET, Dr.Web либо другие популярные аналоги, следует оперативно обновить базы данных. Также для Касперского необходимо включить "Мониторинг активности" (System Watcher), а в ESET применить сигнатуры с обновлением 16295, информирует talkdevice .
Если у вас нет антивирусников, заблокируйте исполнение файлов C:\Windows\infpub.dat и C:\Windows\cscc.dat. Делается это через редактор групповых политик либо программу AppLocker для Windows.
Запретите выполнение службы - Windows Management Instrumentation (WMI). Через правую кнопку войдите в свойства службы и выберите в "Тип запуска" режим "Отключена".
