Как работает шифровальщик Bad Rabbit, и есть ли здесь связь с NotPetya. Bad Rabbit: очередной вирус-шифровальщик. Как не заразиться? Новый вирус шифровальщик bad rabbit

Еще в конце 80-х вирус AIDS («PC Cyborg»), написанный Джозефом Поппом, скрывал каталоги и шифровал файлы, требуя выплатить около $200 за «продление лицензии». Сначала программы-вымогатели были нацелены только на обычных людей, использующих компьютеры под управлением Windows, но сейчас сама угроза стала серьезной проблемой для бизнеса: программ появляется все больше, они становятся дешевле и доступнее. Вымогательство с использованием вредоносных программ - основная киберугроза в 2\3 странах Евросоюза. Один из самых распространенных вирусов-вымогателей программа CryptoLocker - начиная с сентября 2013 года заразил более четверти миллиона компьютеров в странах ЕС.

В 2016 году количество атак шифровальщиков резко увеличилось – по оценкам аналитиков, более, чем в сто раз по сравнению с предыдущим годом. Это – нарастающий тренд, причем под ударом, как мы увидели, оказались совершенно различные компании и организации. Угроза актуальна и для некоммерческих организаций. Так как для каждой крупной атаки вредоносные программы модернизируются и тестируются злоумышленниками на «прохождение» через антивирусную защиту, антивирусы, как правило, против них бессильны.

Служба безопасности Украины 12 октября предупреждала о вероятности новых масштабных кибератак на государственные структуры и частные компании, подобных июньской эпидемии вируса-шифровальщика NotPetya . По информации украинской спецслужбы, "атака может быть осуществлена с использованием обновлений, в том числе общедоступного прикладного программного обеспечения". Напомним, что в случае с атакой NotPetya, которую исследователи связывали с группой BlackEnergy, первыми жертвами стали компании, использующие программное обеспечение украинского разработчика системы документооборота «M.E.Doc».

Тогда, в первые 2 часа были атакованы энергетические, телекоммуникационные и финансовые компании: Запорожьеоблэнерго, Днепроэнерго, Днепровская электроэнергетическая система, Mondelez International, Ощадбанк, Mars, "Новая Почта", Nivea, TESA, Киевский метрополитен, компьютеры Кабинета министров и правительства Украины, магазины "Ашан", украинские операторы ("Киевстар", LifeCell, "УкрТелеКом"), Приватбанк, аэропорт Борисполь.

Чуть раньше, в мае 2017 года, вирус-шифровальщик WannaCry атаковал 200 000 компьютеров в 150 странах мира. Вирус прошелся по сетям университетов в Китае, заводов Renault во Франции и Nissan в Японии, телекоммуникационной компании Telefonica в Испании и железнодорожного оператора Deutsche Bahn в Германии. Из-за заблокированных компьютеров в клиниках Великобритании пришлось отложить операции, а региональные подразделения МВД России - не смогли выдавать водительские права. Исследователи заявили, что за атакой стоит северокорейские хакеры из Lazarus.

В 2017 году вирусы-шифровальщики вышли на новый уровень: использование киберпреступниками инструментов из арсеналов американских спецслужб и новых механизмом распространения привело к международным эпидемиям, самыми масштабные из них оказались - WannaCry и NotPetya. Несмотря на масштабы заражения, сами вымогатели собрали сравнительно ничтожные суммы - скорее всего это были не попытки заработать, а проверить уровень защиты сетей критической инфраструктуры предприятий, госведомств и частных компаний.

24 октября российские СМИ, а также транспортные компании и государственные учреждения Украины подверглись атаке шифровальщика Bad Rabbit («Плохой кролик»). По данным открытых источников, в числе пострадавших Киевский метрополитен, аэропорт Одессы, Министерство инфраструктуры Украины, редакции «Интерфакса» и «Фонтанки».

По данным вирусной лаборатории ESET, в атаке на Киевский метрополитен использовалось вредоносное ПО Diskcoder.D - новая модификация шифратора, известного как Petya.

Специалисты по информационной безопасности из Group-IB установили, что атака готовилась несколько дней. В ESET предупреждают, что шифровальщик проникает в компьютер через поддельное обновление плагина Adobe Flash. После этого он заражает ПК и шифрует файлы на нем. Затем на мониторе появляется сообщение о том, что компьютер заблокирован, а для расшифровки файлов необходимо зайти на сайт Bad Rabbit - caforssztxqzf2nm.onion через браузер Tor.

Эпидемии шифровальщиков WannaCry и NotPetya показали, что необходимо вовремя обновлять установленные программы и систему, а также делать резервные копии, чтобы не остаться без важной информации после атаки вирусов.

Однако, если заражение произошло эксперты из Group-IB не рекомендуем платить выкуп, так как:

• таким образом вы помогаете преступникам;
• у нас нет доказательств, что данные тех, кто заплатил, были восстановлены.

Как защитить компьютер от заражения Bad Rabbit?

Чтобы не стать жертвой новой эпидемии Bad Rabbit («Плохой кролик»), специалисты «Лаборатории Касперского» рекомендуют сделать следующее:

Для пользователей антивирусных решений «Лаборатории Касперского»:

• Проверьте, включены ли в вашем защитном решении компоненты Kaspersky Security Network и «Мониторинг активности» (он же System Watcher). Если нет - обязательно включите.

Для тех, кто не пользуется антивирусными решениями «Лаборатории Касперского».

Bad Rabbit – это вирус, относящийся к шифрующим вирусам-вымогателям. Появился он совсем недавно и нацелен главным образом на компьютеры пользователей России и Украины, а также частично Германии и Турции.

Принцип работы вирусов-шифровальщиков всегда один: попадая на компьютер, вредоносная программа шифрует файлы системы и данные пользователя, блокируя доступ к компьютеру посредством пароля. Все, что отображается на экране, – это окно вируса, требования злоумышленника и номер счета, на который тот требует перевести деньги для разблокировки. После массового распространения криптовалют стало популярно требовать выкуп именно в биткоинах, поскольку операции с ними крайне сложно отследить со стороны. Также поступает и Bad Rabbit. Он использует уязвимости операционной системы, в частности в Adobe Flash Player, и проникает под видом обновления для него.

После заражения BadRabbit создает в папке Windows файл infpub.dat, который создает остальные файлы программы: cscc.dat и dispci.exe, которые вносят свои изменения в настройки MBR диска пользователя и создают свои задачи подобно Планировщику задач. Эта вредоносная программа имеет свой персональный сайт для оплаты выкупа, пользуется сервисом шифрования DiskCryptor, шифрует методами RSA-2048 и AE, а также отслеживает все устройства, подключенные к данному компьютеру, пытаясь заразить и их тоже.

Согласно оценке Symantec вирус получил статус низкой угрозы, а также по утверждению специалистов был создан теми же разработчиками, что и вирусы, обнаруженные за пару месяцев до Bad Rabbit, NotPetya и Petya, поскольку имеет схожие алгоритмы работы. Впервые шифровальщик Bad Rabbit появился в октябре 2017 года и первыми его жертвами стали интернет-газета «Фонтанка», ряд СМИ и сайт информационного агентства «Интерфакс». Компания «Билайн» также была подвержена атаке, но угрозу удалось вовремя предотвратить.

Примечание: К счастью, на данный момент программы по обнаружению подобных угроз уже более эффективны, чем раньше, и риск заражения этим вирусом снизился.

Удаление вируса Bad Rabbit

Восстановление загрузчика

Как и в большинстве случаев подобного типа, для устранения угрозы можно попробовать восстановить загрузчик Windows. В случае с Windows 10 и Windows 8 для этого необходимо подключить установочный дистрибутив системы на USB или DVD, и, загрузившись с него, перейти к опции «Исправление вашего компьютера». После этого нужно перейти в «Устранение неполадок» и выбрать «Командную строку».

Теперь осталось ввести команды одну за другой, каждый раз нажимая Enter после ввода очередной команды:

1. bootrec /FixMbr
2. bootrec /FixBoot
3. bootrec /ScanOs
4. bootrec /RebuildBcd

После проведенных операций – выход и перезагрузка. Чаще всего этого хватает для решения проблемы.
Для Windows 7 действия те же, только там «Командная строка» находится в «Опциях системного восстановления» на установочном дистрибутиве.

Устранение вируса через Безопасный режим

Для использования этого способа необходимо войти в безопасный режим с поддержкой сети. Именно с поддержкой сети, а не простой Безопасный режим. В Windows 10 это можно сделать опять же через установочный дистрибутив. Загрузившись с него, в окне с кнопкой «Установить» необходимо нажать комбинацию из клавиш Shift+F10 и в поле ввести:

bcdedit /set {default} safeboot network

В Windows 7 можно просто несколько раз прожать F8 во время включения компьютера и в появившемся меню выбрать этот режим загрузки из списка.
После входа в безопасный режим главная цель – просканировать операционную систему на наличие угроз. Сделать это лучше через проверенные временем утилиты, такие как Reimage или Malwarebytes Anti-Malware.

Устранение угрозы с помощью Центра восстановления

Для использования данного способа необходимо снова задействовать «Командную строку», как из инструкции выше, а после ее запуска ввести cd restore и подтвердить нажатием Enter. После этого нужно ввести rstrui.exe. Откроется окно программы, в котором можно вернуться на предыдущую точку восстановления, предшествующую заражению.

Вирус-шифровальщик Bad Rabbit или Diskcoder.D. aтaкуeт кopпopaтивныe ceти бoльшиx и cpeдниx opгaнизaций, блoкиpуя вce ceти.

Bad Rabbit или "плохой кролик" трудно назвать первопроходцем - ему предшествовали вирусы-шифровальщики Petya и WannaCry.

Bad Rabbit — что за вирус

Схему распространения нового вируса исследовали эксперты антивирусной компании ESET и выяснили, что Bad Rabbit проникал на компьютеры жертв под видом обновления Adobe Flash для браузера.

В антивирусной компании считают, что шифратор Win32/Diskcoder.D, получивший название Bad Rabbit - модифицированная версия Win32/Diskcoder.C, более известного как Petya/NotPetya, который поразил IT-системы организаций в нескольких странах в июне. На связь Bad Rabbit с NotPetya указывают совпадения в коде.

В атаке используется программа Mimikatz, которая перехватывает на зараженной машине логины и пароли. Также в коде имеются уже прописанные логины и пароли для попыток получения административного доступа.

В новой вредоносной программе исправлены ошибки в шифровании файлов — код, использованный в вирусе, предназначен для шифрования логических дисков, внешних USB-накопителей и образов CD/DVD, а также загрузочных системных разделов диска. Так, что экспертам по дешифровке придется потратить много времени, чтобы раскрыть секрет вируса Bad Rabbit, утверждают специалисты.

Новый вирус, как утверждают специалисты, действует пo cтaндapтнoй для шифpoвaльщикoв cxeмe — пoпaдaя в cиcтeму неизвестно откуда, oн кoдиpуeт фaйлы, зa pacшифpoвку кoтopыx xaкepы тpeбуют выкуп в биткоинах.

Разблокировка одного компьютера обойдется в 0,05 биткоина, что составляет порядка 283 долларов по текущему курсу. В случае выплаты выкупа мошенники вышлют специальный код-ключ, который позволит восстановить нормальную работу системы и не потерять все.

Если пользователь не переведет средства в течение 48 часов, размер выкупа вырастет.

Но, стоит помнить, что выплата выкупа - может быть ловушкой, которая не гарантирует разблокировку компьютера.

В ESET отмечают, что в настоящее время связь вредоносной программы с удаленным сервером отсутствует.

Вирус больше всего поразил российских пользователей, в меньшей степени — компании в Германии, Турции и на Украине. Распространение происходило через зараженные СМИ. Известные зараженные сайты уже заблокированы.

В ESET считают, что статистика атак в значительной степени соответствует географическому распределению сайтов, содержащих вредоносный JavaScript.

Как защититься

Специалисты компании Group-IB, которая занимается предотвращением и расследованием киберпреступностей, дали рекомендации, как защититься от вируса Bad Rabbit.

В частности, для защиты от сетевого вредителя нужно создать на своем компьютере файл C:\windows\infpub.dat, при этом в разделе администрирования установить для него права "только для чтения".

Этим действием исполнение файла будет заблокировано, и все поступающие извне документы не будут зашифрованы даже в том случае, если окажутся зараженными. Нужно создать резервную копию всех ценных данных, чтобы в случае заражения не потерять их.

Специалисты Group-IB также советуют заблокировать ip-адреса и доменные имена, с которых происходило распространение вредоносных файлов, поставить пользователям блокировку всплывающих окон.

Рекомендуется также оперативно изолировать компьютеры в системе обнаружения вторжений. Пользователям ПК следует также проверить актуальность и целостность резервных копий ключевых сетевых узлов и обновить операционные системы и системы безопасности.

"В части парольной политики: настройками групповой политики запретите хранение паролей в LSA Dump в открытом виде. Смените все пароли на сложные", — добавили в компании.

Предшественники

Вирус WannaCry в мае 2017 года распространился не менее чем в 150 странах мира. Он шифровал информацию и требовал заплатить выкуп, по разным данным, от 300 до 600 долларов.

От него пострадали свыше 200 тысяч пользователей. По одной из версий, его создатели взяли за основу вредоносную программу АНБ США Eternal Blue.

Глобальная атака вируса-вымогателя Petya 27 июня поразила IT-системы компаний в нескольких странах мира, в большей степени затронув Украину.

Атаке подверглись компьютеры нефтяных, энергетических, телекоммуникационных, фармацевтических компаний, а также госорганов. Киберполиция Украины заявила, что атака вируса-вымогателя произошла посредством программы "M.E.doc".

Материал подготовлен на основе открытых источников

Конец октября этого года был ознаменован появлением нового вируса, который активно атаковал компьютеры корпоративных и домашних пользователей. Новый вирус является шифровальщиком и называется Bad Rabbit, что в переводе означает плохой кролик. С помощью этого вируса были атакованы сайты нескольких российских средств массовой информации. Позже вирус был обнаружен и в информационных сетях украинских предприятий. Там были атакованы информационные сети метрополитена, различных министерств, международных аэропортов и прочее. Немного позже аналогичная вирусная атака наблюдалась в Германии и Турции, хотя ее активность была существенно ниже, нежели на Украине и в России.

Вредоносный вирус представляет собой специальный плагин, который после попадания на компьютер, производит шифрование его файлов. После того, как информация была зашифрована, злоумышленники пытаются получить вознаграждение от пользователей за расшифровку их данных.

Распространение вируса

Специалисты лаборатории по разработке антивирусных программ ESET проанализировали алгоритм работы пути распространения вируса и пришли к выводам, что он является модифицированным вирусом, который не так давно распространялся, как вирус Petya.

Специалисты лаборатории ESET вычислили, что распространение вредоносных плагинов производилось с ресурса 1dnscontrol.com и IP-адреса IP5.61.37.209. С эти доменом и IP также связаны еще несколько ресурсов, среди которых secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.

Специалистами было расследовано, что владельцами этих сайтов зарегистрировано множество различных ресурсов, например, такие через которые, с помощью спам рассылки пытаются реализовать контрафактные медикаменты. Специалисты ESET не исключают, что именно с помощью этих ресурсов, используя спам рассылку и фишинг, и была осуществлена основная кибератака.

Как происходит заражение вирусом Bad Rabbit

Специалистами лаборатории компьютерной криминалистики проводилось расследование, каким образом вирус попадал на компьютеры пользователей. Было выявлено, что в большинстве случаев вирус-шифровальщик Bad Rabbit распространялся, как обновление к Adobe Flash. То есть вирус не использовал какие-либо уязвимости операционной системы, а устанавливался самими пользователями, которые, не ведая об этом, одобряли его установку, думая, что они обновляют плагин Adobe Flash. Когда вирус попадал в локальную сеть, он производил кражу из памяти логинов и паролей и самостоятельно распространялся на другие компьютерные системы.

Как хакеры вымогают деньги

После того как вирус-шифровальщик был установлен на компьютере он производит шифрование хранимой информации. Далее пользователи получают сообщение, в котором указывается, что для того чтобы получить доступ к своим данным следует выполнить платеж на указанном сайте в даркнете. Для этого изначально нужно установить специальный браузер Tor. За то, что компьютер будет разблокирован, злоумышленники вымогают оплату в сумме 0,05 биткоина. На сегодняшний день, по цене за 1 Bitcoin 5600 долларов, это приблизительно составляет 280 долларов за разблокировку компьютера. На то чтобы произвести оплату пользователю предоставляется временной срок равный 48-ми часам. По истечению этого срока, если требуемая сумма не была переведена на электронный счет злоумышленника, сумма увеличивается.

Как защититься от вируса

1. Чтобы защитить себя от заражения вирусом Bad Rabbit следует заблокировать доступ из информационной среды к указанным выше доменам.
2. Для домашних пользователей нужно произвести обновление текущей версии Windows а также антивирусной программы. В таком случае вредоносный файл будет детектироваться, как вирус вымогатель, что исключит возможность его установки на компьютере.
3. Те пользователи, которые используют встроенный антивирус операционной системы Windows, уже имеют защиту от этих вымогателей. Она реализована в приложении Windows Defender Antivirus.
4. Разработчики антивирусной программы из лаборатории Касперского советуют всем пользователям периодически делать бэкап своих данных. Кроме этого специалисты рекомендуют блокировать выполнение файлов c:\windows\infpub.dat, c:\WINDOWS\cscc.dat, а также, если есть возможность, то нужно запретить использование WMI-сервиса.

Заключение

Каждый из пользователей компьютера должен помнить, что кибербезопасность при работе в сети должна быть на первом месте. Поэтому всегда нужно следить за использованием только проверенных информационных ресурсов и аккуратно использовать электронную почту и социальные сети. Именно через эти ресурсы наиболее часто и осуществляется распространение различных вирусов. Элементарные правила поведения в информационной среде позволят исключить проблем, которые возникают при вирусной атаке.