Σήμερα θα δούμε: Οι αληθινοί γνώστες της μουσικής γνωρίζουν ότι για την ποιότητα...
Chercher τεράστιο ποσόπροβλήματα. Και τον ονόμασαν ανάλογα - Κακό κουνέλι(ή όπως γράφουν ορισμένοι ειδικοί - BadRabbit). Με αυτό το όνομα άρχισε να εξαπλώνεται ένας άλλος ιός ransomware.
Ποιος τραυματίστηκε;
Οι πρώτες πληροφορίες για την επίθεση εμφανίστηκαν το πρωί της 24ης Οκτωβρίου. Πολλές κρατικές εταιρείες στην Ουκρανία (μετρό Κιέβου, αεροδρόμιο της Οδησσού) και στη Ρωσία, καθώς και ορισμένα μέσα ενημέρωσης, επλήγησαν. Τα χρηματοπιστωτικά ιδρύματα δέχθηκαν επίσης επίθεση, αλλά οι επιτιθέμενοι δεν κατάφεραν να τους βλάψουν. Με τη σειρά τους, εκπρόσωποι της ESET ανέφεραν ότι προβλήματα προέκυψαν όχι μόνο στη Ρωσία και την Ουκρανία, αλλά και στην Τουρκία, την Ιαπωνία και τη Βουλγαρία.
Μετά τον αποκλεισμό του υπολογιστή, το κακόβουλο λογισμικό ενημέρωσε τον χρήστη ότι για να ξεκλειδώσει τα δεδομένα, πρέπει να μεταφέρει 0,05 bitcoin (που ισοδυναμεί με 280 USD) στον λογαριασμό των εισβολέων.
Πώς διανέμεται;
Τίποτα δεν ήταν γνωστό για την ακριβή μέθοδο διανομής του κακόβουλου λογισμικού. Το Group-IB σημείωσε ότι η επίθεση προετοιμαζόταν για αρκετές ημέρες (αν και σύμφωνα με τον εκπρόσωπο της Kaspersky Lab Costin Raiu, η προετοιμασία κράτησε πολύ περισσότερο).
Ωστόσο, είναι ήδη γνωστό σήμερα ότι το κακόβουλο λογισμικό διανεμήθηκε με το πρόσχημα τακτικές ενημερώσεις Adobe Flash, χωρίς να εκμεταλλευτεί το ελάττωμα SMB που είχε προηγουμένως εκμεταλλευτεί το ransomware WannaCry και NotPetya. Αλλά και εδώ οι απόψεις των ειδικών διίστανται.
Το Group-IB πιστεύει ότι το Bad Rabbit είναι μια τροποποίηση του NotPetya, στην οποία οι χάκερ κατάφεραν να διορθώσουν λάθη στον αλγόριθμο κρυπτογράφησης. Παράλληλα, εκπρόσωποι της Intezer σημειώνουν ότι κακόβουλος κώδικαςμόλις 13% πανομοιότυπα.
Η ESET και η Kaspersky Lab έχουν πάρει μια αρκετά ενδιαφέρουσα θέση: οι εταιρείες δεν αποκλείουν ότι το «κακό κουνέλι» μπορεί να είναι οπαδός του NotPetya, αλλά δεν κάνουν άμεσες δηλώσεις σχετικά με αυτό.
Πώς να προστατέψετε τον υπολογιστή σας;
Επί αυτή τη στιγμήΗ διανομή του ransomware έχει ήδη σταματήσει, αλλά οι ειδικοί σημειώνουν ότι αξίζει να φροντίσετε να προστατεύσετε τους υπολογιστές σας από μόλυνση. Για να το κάνετε αυτό, δημιουργήστε τα αρχεία:
- C:\Windows\infpub.dat και C:\Windows\cscc.dat;
- αφαιρέστε όλα τα δικαιώματα εκτέλεσης από αυτά (αποκλείστε τα).
Μπορώ να επιβεβαιώσω — Εμβολιασμός για
Μπορεί να είναι προάγγελος του τρίτου κύματος ιών κρυπτογράφησης, πιστεύει η Kaspersky Lab. Οι δύο πρώτοι ήταν οι εντυπωσιακοί WannaCry και Petya (γνωστός και ως NotPetya). Ειδικοί στον τομέα της κυβερνοασφάλειας είπαν στο MIR 24 για την εμφάνιση ενός νέου κακόβουλου λογισμικού δικτύου και πώς να προστατευτούν από την ισχυρή του επίθεση.
Τα περισσότερα από τα θύματα της επίθεσης του Bad Rabbit βρίσκονται στη Ρωσία. Υπάρχουν σημαντικά λιγότερα από αυτά στην Ουκρανία, την Τουρκία και τη Γερμανία, σημείωσε ο επικεφαλής του τμήματος έρευνας κατά των ιών στο Kaspersky Lab. Βιάτσεσλαβ Ζακορζέφσκι. Πιθανώς, οι δεύτερες πιο ενεργές χώρες ήταν εκείνες οι χώρες όπου οι χρήστες παρακολουθούν ενεργά τους ρωσικούς πόρους του Διαδικτύου.
Όταν το κακόβουλο λογισμικό μολύνει έναν υπολογιστή, κρυπτογραφεί αρχεία σε αυτόν. Διανέμεται χρησιμοποιώντας διαδικτυακή κίνηση από παραβιασμένους πόρους του Διαδικτύου, μεταξύ των οποίων ήταν κυρίως οι ιστότοποι ομοσπονδιακών ρωσικών μέσων ενημέρωσης, καθώς και υπολογιστές και διακομιστές του μετρό του Κιέβου, του Υπουργείου Υποδομών της Ουκρανίας και του Διεθνούς Αεροδρομίου της Οδησσού. Διορθώθηκε και αποτυχημένη προσπάθειαεπιτεθούν στις ρωσικές τράπεζες από τις 20 πρώτες.
Το γεγονός ότι η Fontanka, η Interfax και μια σειρά άλλων εκδόσεων δέχθηκαν επίθεση από τον Bad Rabbit αναφέρθηκε χθες από την Group-IB, μια εταιρεία που ειδικεύεται σε ασφάλεια πληροφοριών. Η ανάλυση του κώδικα του ιού έδειξε ότι Το Bad Rabbit συνδέεται με ransomware Όχι η Πέτυα, που είναι τον Ιούνιοφέτος επιτέθηκε σε εταιρείες ενέργειας, τηλεπικοινωνιών και χρηματοπιστωτικών εταιρειών στην Ουκρανία.
Η επίθεση προετοιμάστηκε για αρκετές ημέρες και, παρά το μέγεθος της μόλυνσης, το ransomware απαίτησε σχετικά μικρά ποσά από τα θύματα της επίθεσης - 0,05 bitcoin (δηλαδή περίπου 283 $ ή 15.700 ρούβλια). Διατίθενται 48 ώρες για εξαργύρωση. Μετά τη λήξη αυτής της περιόδου, το ποσό αυξάνεται.
Οι ειδικοί του Group-IB πιστεύουν ότι, πιθανότατα, οι χάκερ δεν έχουν καμία πρόθεση να βγάλουν χρήματα. Πιθανός στόχος τους είναι να ελέγξουν το επίπεδο προστασίας των δικτύων υποδομών ζωτικής σημασίας επιχειρήσεων, κρατικών υπηρεσιών και ιδιωτικών εταιρειών.
Είναι εύκολο να γίνεις θύμα επίθεσης
Όταν ένας χρήστης επισκέπτεται έναν μολυσμένο ιστότοπο, ο κακόβουλος κώδικας μεταδίδει πληροφορίες σχετικά με αυτόν σε απομακρυσμένος διακομιστής. Στη συνέχεια, εμφανίζεται ένα αναδυόμενο παράθυρο που σας ζητά να κάνετε λήψη μιας ενημέρωσης για Flash Player, που είναι ψεύτικο. Εάν ο χρήστης εγκρίνει τη λειτουργία "Εγκατάσταση", θα γίνει λήψη ενός αρχείου στον υπολογιστή, ο οποίος με τη σειρά του θα εκκινήσει τον κρυπτογράφηση Win32/Filecoder.D στο σύστημα. Στη συνέχεια, η πρόσβαση στα έγγραφα θα αποκλειστεί και ένα μήνυμα λύτρων θα εμφανιστεί στην οθόνη.
Ο ιός Bad Rabbit σαρώνει το δίκτυο για ανοιχτό πόρους δικτύου, μετά από την οποία εκτοξεύει ένα εργαλείο στο μολυσμένο μηχάνημα για τη συλλογή διαπιστευτηρίων και αυτή η «συμπεριφορά» διαφέρει από τους προκατόχους του.
Ειδικοί από τον διεθνή προγραμματιστή λογισμικού προστασίας από ιούς Eset NOD 32 επιβεβαίωσαν ότι το Bad Rabbit είναι νέα τροποποίηση Ιός Petya, η αρχή λειτουργίας του οποίου ήταν η ίδια - ο ιός κρυπτογραφούσε πληροφορίες και απαιτούσε λύτρα σε bitcoins (το ποσό ήταν συγκρίσιμο με το Bad Rabbit - 300 $). Το νέο κακόβουλο λογισμικό διορθώνει σφάλματα στην κρυπτογράφηση αρχείων. Ο κώδικας που χρησιμοποιείται στον ιό προορίζεται για κρυπτογράφηση λογικές κινήσεις, εξωτερικές μονάδες USBκαι εικόνες CD/DVD, καθώς και με δυνατότητα εκκίνησης κατατμήσεις συστήματοςδίσκος.
Μιλώντας για το κοινό που δέχτηκε επίθεση από τον Bad Rabbit, Head of Sales Support στην ESET Russia Vitaly Zemskikhδήλωσε ότι το 65% των επιθέσεων σταμάτησαν προϊόντα προστασίας από ιούςεταιρείες βρίσκονται στη Ρωσία. Η υπόλοιπη γεωγραφία του νέου ιού μοιάζει με αυτό:
Ουκρανία – 12,2%
Βουλγαρία – 10,2%
Τουρκία – 6,4%
Ιαπωνία – 3,8%
άλλα – 2,4%
«Το ransomware εκμεταλλεύεται γνωστά λογισμικόΜε ανοιχτού κώδικαονομάζεται DiskCryptor για να κρυπτογραφήσει τους δίσκους του θύματος. Η οθόνη κλειδώματος μηνύματος που βλέπει ο χρήστης είναι σχεδόν πανομοιότυπη με τις οθόνες κλειδώματος Petya και NotPetya. Ωστόσο, αυτή είναι η μόνη ομοιότητα που έχουμε δει μέχρι στιγμής μεταξύ των δύο κακόβουλων προγραμμάτων. Σε όλες τις άλλες πτυχές, το BadRabbit είναι ένας εντελώς νέος και μοναδικός τύπος ransomware», πιστεύει με τη σειρά του. τεχνικός διευθυντήςεταιρείες Σημείο ελέγχουΤεχνολογίες Λογισμικού Νικήτα Ντούροφ.
Πώς να προστατευτείτε από το Bad Rabbit;
Οι ιδιοκτήτες λειτουργικών συστημάτων εκτός των Windows μπορούν να αναπνεύσουν με ανακούφιση, όπως νέος ιός ransomwareκάνει ευάλωτους μόνο τους υπολογιστές με αυτόν τον «άξονα».
Για προστασία από κακόβουλο λογισμικό δικτύου, οι ειδικοί συνιστούν να δημιουργήσετε το αρχείο C:\windows\infpub.dat στον υπολογιστή σας και να ορίσετε δικαιώματα μόνο για ανάγνωση για αυτό - αυτό είναι εύκολο να το κάνετε στην ενότητα διαχείρισης. Με αυτόν τον τρόπο θα αποκλείσετε την εκτέλεση του αρχείου και όλα τα έγγραφα που φτάνουν από έξω δεν θα κρυπτογραφούνται ακόμη και αν είναι μολυσμένα. Για να αποφύγετε την απώλεια πολύτιμων δεδομένων σε περίπτωση μόλυνσης από ιό, δημιουργήστε ένα αντίγραφο ασφαλείας τώρα ( αντίγραφο ασφαλείας). Και, φυσικά, αξίζει να θυμάστε ότι η πληρωμή λύτρων είναι μια παγίδα που δεν εγγυάται ότι ο υπολογιστής σας θα ξεκλειδωθεί.
Να σας υπενθυμίσουμε ότι ο ιός εξαπλώθηκε σε τουλάχιστον 150 χώρες σε όλο τον κόσμο τον Μάιο του τρέχοντος έτους. Κρυπτογραφούσε τις πληροφορίες και ζήτησε να πληρώσει λύτρα, σύμφωνα με διάφορες πηγές, από 300 έως 600 δολάρια. Πάνω από 200 χιλιάδες χρήστες επηρεάστηκαν από αυτό. Σύμφωνα με μια εκδοχή, οι δημιουργοί του έλαβαν ως βάση κακόβουλο λογισμικόΗ NSA των ΗΠΑ Eternal Blue.
Η Alla Smirnova μίλησε με ειδικούς
συμμαθητές
Μόλις τις προάλλες, μια μεγάλης κλίμακας επίθεση χάκερνέος ιός ransomware Bad Rabbit, γνωστός και ως Diskcoder.D. Ιός σε παρούσα στιγμήεπιθέσεις εταιρικά δίκτυαμεγάλους και μεσαίους οργανισμούς, αποκλείοντας όλα τα δίκτυα. Σήμερα θα σας πούμε τι είναι αυτό το Trojan και πώς μπορείτε να προστατευθείτε από αυτό.
Ο ιός Bad Rabbit λειτουργεί σύμφωνα με ένα τυπικό σχέδιο για ransomware: μόλις εισέλθει στο σύστημα, κωδικοποιεί αρχεία για αποκρυπτογράφηση των οποίων οι χάκερ ζητούν 0,05 bitcoin, το οποίο στην ισοτιμία είναι 283 $ (ή 15.700 ρούβλια). Αυτό αναφέρεται σε ξεχωριστό παράθυρο, όπου πρέπει να εισαγάγετε το κλειδί που αγοράσατε. Η απειλή ανήκει στον τύπο Trojan.Win32.Generic, αλλά περιέχει και άλλα στοιχεία, όπως DangerousObject.Multi.Generic και Ransom.Win32.Gen.ftl.
Είναι ακόμα δύσκολο να εντοπιστούν πλήρως όλες οι πηγές μόλυνσης, αλλά οι ειδικοί εργάζονται τώρα για αυτό.
Προφανώς, η απειλή φτάνει στον υπολογιστή μέσω μολυσμένων τοποθεσιών που έχουν ρυθμιστεί για ανακατεύθυνση ή υπό το πρόσχημα των ψεύτικων ενημερώσεων για δημοφιλή πρόσθετα όπως το Adobe Flash. Ο κατάλογος τέτοιων τοποθεσιών αυξάνεται μόνο.
Θα πρέπει να σημειωθεί αμέσως ότι αυτή τη στιγμή τα πάντα εργαστήρια προστασίας από ιούςΑρχίσαμε να αναλύουμε αυτό το Trojan. Εάν αναζητάτε συγκεκριμένα πληροφορίες σχετικά με την αφαίρεση του ιού, τότε αυτή καθαυτή δεν υπάρχει. Ας το απορρίψουμε αμέσως τυπικές συμβουλές, όπως δημιουργία αντιγράφου ασφαλείας του συστήματος, σημείο επιστροφής, διαγραφή ορισμένα αρχεία. Εάν δεν έχετε αποθηκεύσεις, τότε όλα τα άλλα δεν λειτουργούν, οι χάκερ, λόγω των προδιαγραφών του ιού, υπολόγισαν αυτούς τους πόντους.
Υπάρχει πιθανότητα σύντομα να διανεμηθούν αποκρυπτογραφητές που έχουν δημιουργηθεί από ερασιτέχνες για το Bad Rabbit - το αν θα χρησιμοποιήσετε αυτά τα προγράμματα ή όχι είναι δική σας απόφαση. Όπως αποδεικνύεται από το τελευταίο Petya ransomware, αυτό δεν βοηθά κανέναν.
Αλλά είναι δυνατό να αποτρέψετε την απειλή και να την αφαιρέσετε ενώ προσπαθείτε να μπείτε στον υπολογιστή. Ο πρώτος που αντέδρασε στην είδηση για την επιδημία του ιού Εργαστήρια Kasperskyκαι ESET, που ήδη μπλοκάρουν τις προσπάθειες εισβολής.
Πρόγραμμα περιήγησης Google Chromeσυμπεριλαμβανομένης της έναρξης εντοπισμού μολυσμένων πόρων και προειδοποίησης για τον κίνδυνο τους. Εδώ είναι τι πρέπει να κάνετε για να προστατευθείτε πρώτα από το BadRabbit:
1. Εάν χρησιμοποιείτε Kaspersky, ESET, Dr.Web ή άλλα γνωστά ανάλογα για προστασία, τότε πρέπει να ενημερώσετε τις βάσεις δεδομένων. Για το Kaspersky, πρέπει επίσης να ενεργοποιήσετε το "Activity Monitor" ( Παρατηρητής συστήματος), και στην ESET εφαρμόστε υπογραφές με την ενημέρωση 16295.
2. Εάν δεν χρησιμοποιείτε προγράμματα προστασίας από ιούς, τότε πρέπει να αποκλείσετε την εκτέλεση των αρχείων C:\Windows\infpub.dat και C:\Windows\cscc.dat. Αυτό γίνεται χρησιμοποιώντας το πρόγραμμα επεξεργασίας πολιτικές ομάδας, ή προγράμματα AppLocker για Windows.
3. Εάν είναι δυνατόν, αξίζει να απαγορεύσετε την εκτέλεση της υπηρεσίας - Διαχείριση WindowsΌργανα (WMI). Στην έκδοση 10, η υπηρεσία ονομάζεται «Εργαλειοθήκη Διαχείριση Windows" Χρησιμοποιώντας το δεξί κουμπί, εισαγάγετε τις ιδιότητες υπηρεσίας και επιλέξτε τη λειτουργία "Απενεργοποιημένη" στον "Τύπος εκκίνησης".
Είναι επιτακτική ανάγκη να δημιουργήσετε αντίγραφα ασφαλείας του συστήματός σας. Στην ιδανική περίπτωση, ένα αντίγραφο θα πρέπει πάντα να αποθηκεύεται σε συνδεδεμένα μέσα.
Εν κατακλείδι, πρέπει να σημειωθεί το πιο σημαντικό πράγμα - δεν πρέπει να πληρώσετε τα λύτρα, ανεξάρτητα από το τι έχετε κρυπτογραφήσει. Αυτό το είδος ενέργειας ενθαρρύνει μόνο τους απατεώνες να δημιουργήσουν νέες επιθέσεις ιών. Παρακολουθήστε τα φόρουμ των εταιρειών προστασίας από ιούς, που ελπίζω σύντομα να μελετήσουν τον ιό Bad Rabbit και να βρουν η σωστή λύση. Φροντίστε να ακολουθήσετε τα παραπάνω βήματα για να προστατέψετε το λειτουργικό σας σύστημα. Εάν αντιμετωπίζετε δυσκολίες στην εκτέλεσή τους, γράψτε στα σχόλια.
Την Τρίτη, υπολογιστές στη Ρωσική Ομοσπονδία, την Ουκρανία, την Τουρκία και τη Γερμανία δέχθηκαν επίθεση από τον ιό ransomware Bad Rabbit. Ο ιός μπλοκαρίστηκε γρήγορα, αλλά οι ειδικοί ασφάλεια υπολογιστήπροειδοποιούν για την προσέγγιση ενός νέου «κυβερνοτυφώνα».
Οι επιθέσεις ιών ξεκίνησαν στη μέση της ημέρας στην Ουκρανία: ο ιός χτύπησε δίκτυα υπολογιστώνΜετρό Κιέβου, Υπουργείο Υποδομών, Διεθνές Αεροδρόμιο της Οδησσού. Ο Bad Rabbit κρυπτογραφούσε αρχεία σε υπολογιστές και ζήτησε λύτρα 0,05 bitcoin.
Λίγο αργότερα το ρωσικό πρακτορείο ειδήσεων Interfax και ο διακομιστής της Αγίας Πετρούπολης πύλη ειδήσεων«Fontanka», με αποτέλεσμα τα δύο αυτά μέσα ενημέρωσης να αναγκαστούν να σταματήσουν να λειτουργούν. Σύμφωνα με την Group-IB, εταιρεία έρευνας εγκλήματος στον κυβερνοχώρο, την Τρίτη από τις 13:00 έως τις 15:00 ώρα Μόσχας, ο Bad Rabbit προσπάθησε επίσης να επιτεθεί σε μεγάλες ρωσικές τράπεζες, αλλά δεν τα κατάφερε. Η ESET ανέφερε ότι οι επιθέσεις του ιού επηρέασαν χρήστες στη Βουλγαρία, την Τουρκία και την Ιαπωνία.
Το Bad Rabbit διανεμήθηκε με το πρόσχημα των ψεύτικων ενημερώσεων και προγραμμάτων εγκατάστασης του Adobe Flash. Τα πλαστά ήταν υπογεγραμμένα με πλαστά πιστοποιητικά που μιμούνταν πιστοποιητικά Symantec.
Μόλις λίγες ώρες μετά την έναρξη της επίθεσης, σχεδόν όλοι έκαναν τεστ για τον ιό μεγαλύτερες εταιρείεςστον τομέα της ασφάλειας του Διαδικτύου. Οι ειδικοί από την ESET, την Proofpoint και την Kaspersky Lab διαπίστωσαν ότι το Bad Rabbit διανεμήθηκε με το πρόσχημα των πλαστών ενημερώσεων και προγραμμάτων εγκατάστασης του Adobe Flash. Τα πλαστά ήταν υπογεγραμμένα με πλαστά πιστοποιητικά που μιμούνταν πιστοποιητικά Symantec.
Το Bad Rabbit διένειμε πολλές παραβιασμένες τοποθεσίες ταυτόχρονα, που ανήκαν κυρίως σε μέσα ενημέρωσης. Διαπιστώθηκε επίσης ότι η επίθεση προετοιμαζόταν για αρκετές ημέρες: πιο πρόσφατες ενημερώσειςΤα προγράμματα έγιναν στις 19 Οκτωβρίου 2017.
Κληρονόμος του "Petit"
Αυτό είναι το τρίτο παγκόσμια επίθεσηιούς ransomware φέτος. Στις 12 Μαΐου, ο ιός WannaCry μόλυνε περισσότερους από 300 χιλιάδες υπολογιστές σε 150 χώρες. Τα κρυπτογραφημένα αρχεία των χρηστών του WannaCry για αποκρυπτογράφηση, οι εκβιαστές ζήτησαν να πληρώσουν 600 δολάρια σε κρυπτονόμισμα Bitcoin. Συγκεκριμένα, υπέφεραν από επιθέσεις ιών Εθνικό σύστημαΗ υγειονομική περίθαλψη του Ηνωμένου Βασιλείου, η ισπανική εταιρεία τηλεπικοινωνιών Telefonica, το ρωσικό Υπουργείο Καταστάσεων Έκτακτης Ανάγκης, το Υπουργείο Εσωτερικών, οι Ρωσικοί Σιδηρόδρομοι, η Sberbank, η Megafon και η VimpelCom.
Η συνολική ζημιά από το WannaCry ξεπέρασε το 1 δισεκατομμύριο δολάρια. Την ίδια στιγμή, σύμφωνα με Αμερικανούς ειδικούς, οι εκβιαστές έλαβαν μόνο 302 πληρωμές ανά συνολικό ποσό 116,5 χιλιάδες δολάρια.
Οι ειδικοί έχουν διαπιστώσει ότι το WannaCry δημιουργήθηκε με βάση πρόγραμμα χάκερΤο EternalBlue, που δημιουργήθηκε από την NSA των ΗΠΑ και κλάπηκε από χάκερ. Ο πρόεδρος της Microsoft, Μπραντ Σμιθ, δήλωσε σχετικά ότι η μαζική επίθεση Ιός WannaCryκατέστη δυνατή λόγω του γεγονότος ότι η CIA και η Υπηρεσία Εθνικής Ασφάλειας των ΗΠΑ (NSA) συλλέγουν δεδομένα για τρωτά σημεία λογισμικού για τα δικά τους συμφέροντα.
Η επίθεση WannaCry αποκαλύπτει μια ανησυχητική σύνδεση μεταξύ δύο από τις πιο σοβαρές μορφές απειλών στον κυβερνοχώρο - κρατικών ενεργειών και εγκληματικών ομάδων.
Μπραντ Σμιθ
Πρόεδρος της Microsoft
Στις 27 Ιουνίου 2017 ξεκίνησαν επιθέσεις από τον ιό ransomware NotPetya. Ο ιός εξαπλώθηκε μέσω συνδέσμων σε μηνύματα e-mailκαι απέκλεισε την πρόσβαση των χρηστών σε σκληρό δίσκοηλεκτρονικός υπολογιστής. Όπως και με το WannaCry, οι χάκερ ζήτησαν λύτρα για να αποκαταστήσουν τη λειτουργικότητα του υπολογιστή, αλλά αυτή τη φορά μόνο 300 δολάρια σε Bitcoin.
Δεκάδες άνθρωποι επηρεάστηκαν από την επίθεση στο NotPetya Ρωσικές εταιρείες, συμπεριλαμβανομένων των Rosneft, Bashneft, Evraz, των ρωσικών γραφείων της Mars, της Mondeles και της Nivea. Στην Ουκρανία επίθεση ιούΟι υπολογιστές των Kyivenergo, Ukrenergo, Oschadbank, της εταιρείας Antonov και του πυρηνικού σταθμού του Τσερνομπίλ επηρεάστηκαν. Όπως και το WannaCry, το NotPetya δημιουργήθηκε με βάση το εργαλείο EternalBlue που αναπτύχθηκε από την NSA των ΗΠΑ.
Σύμφωνα με ειδικούς, ο συγγραφέας του νέου ιού κρυπτογράφησης BadRabbit θα μπορούσε να είναι ο ίδιος χάκερ ή ομάδα χάκερ που έγραψε το NotPetya: στον κώδικα και των δύο ιών βρέθηκαν αντίστοιχα θραύσματα. Οι αναλυτές της Intezer το υπολόγισαν πηγαίος κώδικαςοι δύο ιοί συμπίπτουν κατά 13%.
Το Bad Rabbit είναι μια τροποποιημένη έκδοση του NotPetya με διορθωμένα σφάλματα στον αλγόριθμο κρυπτογράφησης.
Εταιρεία Group-IB
Οι ειδικοί από την ESET και την Kaspersky Lab παραδέχονται επίσης ότι το Bad Rabbit μπορεί να είναι άμεσος «διάδοχος» του NotPetya, αλλά σημειώστε ότι το Bad Rabbit, σε αντίθεση με τους δύο προηγούμενους ιούς ransomware, δεν χρησιμοποιεί το εργαλείο EternalBlue.
Πώς να προστατευτείτε από το "Bad Bunny"
Οι ειδικοί σε θέματα ασφάλειας του Διαδικτύου αναφέρουν ότι η διανομή του Bad Rabbit έχει ήδη σταματήσει, αλλά συμβουλεύουν τη λήψη μέτρων ασφαλείας. Το Group-IB έδωσε συστάσεις στο κανάλι του στο Telegram σχετικά με το τι πρέπει να κάνετε για να αποτρέψετε την κρυπτογράφηση των αρχείων σας από τον ιό.
Πρέπει να δημιουργήσετε ένα αρχείο C:\windows\infpub.dat και να του δώσετε δικαιώματα μόνο για ανάγνωση<...>Μετά από αυτό, ακόμη και αν μολυνθούν, τα αρχεία δεν θα κρυπτογραφηθούν.
Εταιρεία Group-IB
ειδικεύεται στις έρευνες εγκλημάτων στον κυβερνοχώρο
Για να αποφευχθεί η μόλυνση μεγάλης κλίμακας, είναι απαραίτητο να απομονωθούν αμέσως οι υπολογιστές που έχουν εντοπιστεί ότι στέλνουν τέτοια κακόβουλα αρχεία, σημείωσε η εταιρεία. Επιπλέον, οι χρήστες θα πρέπει να διασφαλίζουν ότι τα αντίγραφα ασφαλείας των βασικών κόμβων δικτύου είναι τρέχοντα και άθικτα.
Συνιστάται επίσης η ενημέρωση λειτουργικά συστήματακαι συστήματα ασφαλείας και ταυτόχρονα μπλοκάρουν διευθύνσεις IP και ονόματα τομέα, από το οποίο διανεμήθηκαν κακόβουλα αρχεία. Επιπλέον, το Group-IB συνιστά την αλλαγή όλων των κωδικών πρόσβασης σε πιο σύνθετους και την ενεργοποίηση του αποκλεισμού αναδυόμενων παραθύρων.
Τα χειρότερα μπορεί να είναι ακόμη μπροστά
Δύο ημέρες πριν από την επίθεση στο Bad Bunny, η κορυφαία εφημερίδα της Νορβηγίας Dagbladet δημοσίευσε ένα εκτενές άρθρο προειδοποιώντας για μια «κυβερνοθύελλα πρωτοφανούς μεγέθους που θα μπορούσε να κλείσει το διαδίκτυο στον κόσμο». «Η έρευνά μας δείχνει ότι τώρα είναι η ηρεμία πριν πλησιάσει ένας τυφώνας στον κυβερνοχώρο», αναφέρει ο Dagbladet ένα μήνυμα από την ισραηλινή εταιρεία προστασίας από ιούς Check Point.
Σύμφωνα με το Check Point, άγνωστοι χάκερ δημιουργούν αυτή τη στιγμή ένα γιγάντιο botnet Reaper, μολύνοντας συσκευές συνδεδεμένες στο Διαδίκτυο, όπως δρομολογητές, ακόμη και κάμερες. Οι ειδικοί της εταιρείας τονίζουν ότι σε σε αυτή την περίπτωσηοι χάκερ έχουν επικεντρωθεί στο «Διαδίκτυο των πραγμάτων» - έξυπνες συσκευές συνδεδεμένες στον Παγκόσμιο Ιστό (από λαμπτήρες, κλειδαριές θυρών, κάμερες ασφαλείας έως ψυγεία και καφετιέρες) που μπορούν να ελεγχθούν μέσω εφαρμογές για κινητάή το Διαδίκτυο.
Οι περισσότερες από αυτές τις συσκευές (λαμπτήρες, βιντεοκάμερες κ.λπ. συνδεδεμένες στο Διαδίκτυο) έχουν τεράστια τρωτά σημεία. Τα είδη συνήθως παραδίδονται με το επώνυμο του χρήστη και τυπικό κωδικό πρόσβασης, και το λογισμικό ενημερώνεται σπάνια. Ως εκ τούτου, είναι πολύ ευάλωτοι σε επιθέσεις χάκερ.
ειδικεύεται στην προστασία από ιούς
Οι ειδικοί της εταιρείας ανακάλυψαν στα τέλη Σεπτεμβρίου ότι ένας τεράστιος αριθμός τέτοιων αντικειμένων «στρατολογήθηκε» από χάκερ για να διαδώσουν τον ιό σε άλλα πράγματα. Έτσι, ο ιός εξαπλώνεται ταχύτερα και έχει ήδη μολύνει εκατομμύρια συσκευές σε όλο τον κόσμο, συμπεριλαμβανομένων των περισσότερων Δρομολογητές D-Link, Netgear και Linksys, καθώς και συνδεδεμένες στο Διαδίκτυο κάμερες ασφαλείας από εταιρείες όπως η Vacron, η GoAhead και η AVTech.
Το botnet Reaper δεν έχει δείξει ακόμη καμία δραστηριότητα, αλλά Κινεζική εταιρείαΌσον αφορά την προστασία από ιούς, το Qihoo 360 προειδοποιεί ότι ένας ιός μπορεί να ενεργοποιηθεί ανά πάσα στιγμή, με αποτέλεσμα τον τερματισμό μεγάλων τμημάτων του Διαδικτύου.
Ο ιός ransomware, γνωστός ως Bad Rabbit, επιτέθηκε σε δεκάδες χιλιάδες υπολογιστές στην Ουκρανία, την Τουρκία και τη Γερμανία. Όμως οι περισσότερες επιθέσεις έγιναν στη Ρωσία. Τι είδους ιός είναι αυτός και πώς να προστατεύσετε τον υπολογιστή σας, σας αναφέρουμε στην ενότητα Ερωτήσεις και Απαντήσεις.
Ποιος υπέφερε από το Bad Rabbit στη Ρωσία;
Ο ιός ransomware Bad Rabbit άρχισε να εξαπλώνεται στις 24 Οκτωβρίου. Ανάμεσα στα θύματα των πράξεών του είναι το πρακτορείο ειδήσεων Interfax και το δημοσίευμα Fontanka.ru.
Το μετρό του Κιέβου και το αεροδρόμιο της Οδησσού υπέφεραν επίσης από τις ενέργειες των χάκερ. Στη συνέχεια έγινε γνωστό για μια προσπάθεια χακάρισμα των συστημάτων πολλών ρωσικών τραπεζών από τις 20 κορυφαίες.
Σύμφωνα με όλες τις ενδείξεις, πρόκειται για στοχευμένη επίθεση σε εταιρικά δίκτυα, καθώς χρησιμοποιεί μεθόδους παρόμοιες με αυτές που παρατηρήθηκαν στην επίθεση του ιού ExPetr.
Ο νέος ιός κάνει μια απαίτηση σε όλους: λύτρα 0,05 bitcoin. Όσον αφορά τα ρούβλια, αυτό είναι περίπου 16 χιλιάδες ρούβλια. Ωστόσο, αναφέρει ότι ο χρόνος για την εκπλήρωση αυτής της απαίτησης είναι περιορισμένος. Για όλα δίνονται κάτι παραπάνω από 40 ώρες. Επιπλέον, το τέλος εξαγοράς θα αυξηθεί.
Τι είναι αυτός ο ιός και πώς λειτουργεί;
Έχετε ήδη ανακαλύψει ποιος κρύβεται πίσω από τη διάδοσή του;
Δεν έχει καταστεί ακόμη δυνατό να μάθουμε ποιος βρίσκεται πίσω από αυτή την επίθεση. Η έρευνα οδήγησε τους προγραμματιστές μόνο στο όνομα τομέα.
Οι ειδικοί από εταιρείες προστασίας από ιούς σημειώνουν την ομοιότητα του νέου ιού με τον ιό Petya.
Όμως, σε αντίθεση με τους προηγούμενους ιούς φέτος, αυτή τη φορά οι χάκερ αποφάσισαν να φύγουν με απλό τρόπο, αναφέρει το 1tv.ru.
«Προφανώς, οι εγκληματίες περίμεναν ότι στις περισσότερες εταιρείες οι χρήστες θα ενημερώσουν τους υπολογιστές τους μετά από αυτές τις δύο επιθέσεις και αποφάσισαν να δοκιμάσουν μια αρκετά φθηνή θεραπεία - κοινωνική μηχανική, προκειμένου να μολύνουν τους χρήστες σχετικά απαρατήρητους στην αρχή», δήλωσε ο Vyacheslav Zakorzhevsky, επικεφαλής του τμήματος έρευνας κατά των ιών στο Kaspersky Lab.
Πώς να προστατέψετε τον υπολογιστή σας από ιούς;
Φροντίστε να δημιουργήσετε αντίγραφα ασφαλείας του συστήματός σας. Εάν χρησιμοποιείτε Kaspersky, ESET, Dr.Web ή άλλα δημοφιλή ανάλογα για προστασία, θα πρέπει να ενημερώσετε αμέσως τις βάσεις δεδομένων. Επίσης για το Kaspersky θα πρέπει να ενεργοποιήσετε το «Activity Monitoring» (System Watcher) και στην ESET να εφαρμόσετε υπογραφές με την ενημέρωση 16295, ενημερώνει το talkdevice.
Εάν δεν έχετε προγράμματα προστασίας από ιούς, αποκλείστε την εκτέλεση των αρχείων C:\Windows\infpub.dat και C:\Windows\cscc.dat. Αυτό γίνεται μέσω του Group Policy Editor ή του προγράμματος AppLocker για Windows.
Διακοπή λειτουργίας της υπηρεσίας - Windows Management Instrumentation (WMI). Διά μέσου δεξί κουμπίεισαγάγετε τις ιδιότητες υπηρεσίας και επιλέξτε τη λειτουργία "Απενεργοποιημένη" στον "Τύπος εκκίνησης".
