Dom-Rad s videom-Novi ransomware virus Bad Rabbit. Kako se zaštititi od novog ransomware virusa Bad Rabbit

Novi ransomware virus Bad Rabbit. Kako se zaštititi od novog ransomware virusa Bad Rabbit

To bi mogao biti najava trećeg vala enkripcijskih virusa, vjeruje Kaspersky Lab. Prva dva su bili senzacionalni WannaCry i Petya (aka NotPetya). Stručnjaci za kibernetičku sigurnost ispričali su za MIR 24 o pojavi novog mrežnog zlonamjernog softvera i kako se zaštititi od njegovog snažnog napada.

Većina žrtava napada Bad Rabbita je u Rusiji. Znatno ih je manje u Ukrajini, Turskoj i Njemačkoj, istaknuo je voditelj odjela za antivirusna istraživanja u Kaspersky Labu. Vjačeslav Zakorževski. Vjerojatno, druge najaktivnije zemlje bile su one zemlje u kojima korisnici aktivno prate ruske internetske resurse.

Kada zlonamjerni softver zarazi računalo, šifrira datoteke na njemu. Distribuira se korištenjem web prometa s hakiranih internetskih izvora, među kojima su uglavnom stranice federalnih ruskih medija, kao i računala i poslužitelji kijevskog metroa, ukrajinskog ministarstva infrastrukture i međunarodne zračne luke Odessa. Zabilježen je neuspješan pokušaj napada ruske banke od prvih 20.

O tome da su Fontanka, Interfax i niz drugih publikacija napadnuti od strane Bad Rabbita jučer je izvijestila Group-IB, tvrtka specijalizirana za informacijska sigurnost. To je pokazala analiza koda virusa Bad Rabbit povezan je s ransomwareom Not Petya, koji je u lipnju ove godine napao energetske, telekomunikacijske i financijske tvrtke u Ukrajini.

Napad je pripreman nekoliko dana, a unatoč razmjerima zaraze, ransomware je od žrtava napada tražio relativno male iznose - 0,05 bitcoina (to je oko 283 dolara ili 15.700 rubalja). Za otkup je predviđeno 48 sati. Nakon isteka tog razdoblja iznos se povećava.

Stručnjaci Group-IB vjeruju da hakeri najvjerojatnije nemaju namjeru zaraditi. Njihov vjerojatni cilj je provjeriti razinu zaštite kritičnih infrastrukturnih mreža poduzeća, državnih odjela i privatnih tvrtki.

Lako je postati žrtva napada

Kada korisnik posjeti zaraženu stranicu, maliciozni kod šalje informacije o njoj udaljenom poslužitelju. Zatim se pojavljuje skočni prozor s upitom da preuzmete ažuriranje za Flash Player, što je lažno. Ako korisnik odobri operaciju “Instaliraj”, datoteka će biti preuzeta na računalo, koje će zauzvrat pokrenuti Win32/Filecoder.D enkriptor na sustavu. Zatim će pristup dokumentima biti blokiran, a na ekranu će se pojaviti poruka o otkupnini.

Virus Bad Rabbit skenira mrežu u potrazi za otvorenim mrežni resursi, nakon čega pokreće alat na zaraženom računalu za prikupljanje vjerodajnica i to se "ponašanje" razlikuje od svojih prethodnika.

Stručnjaci iz međunarodnog razvijača antivirusnog softvera Eset NOD 32 potvrdili su da je Bad Rabbit nova modifikacija virusa Petya, čiji je princip rada bio isti - virus je šifrirao informacije i tražio otkupninu u bitcoinima (iznos je bio usporediv Bad Rabbitu - 300 dolara). Novi malware ispravlja pogreške u enkripciji datoteka. Kod koji se koristi u virusu dizajniran je za šifriranje logičkih pogona, vanjskih USB pogona i CD/DVD slika, kao i za pokretanje sistemske particije disk.

Govoreći o publici koju je napao Bad Rabbit, voditelj prodajne podrške u ESET Rusija Vitalij Zemskikh izjavio je da se 65% napada koje su zaustavili antivirusni proizvodi tvrtke dogodilo u Rusiji. Ostatak geografije novog virusa izgleda ovako:

Ukrajina – 12,2%

Bugarska – 10,2%

Turska – 6,4%

Japan – 3,8%

ostali – 2,4%

"Poznati su iskorištavanja ransomwarea softver S open source pod nazivom DiskCryptor za šifriranje diskova žrtve. Zaključani zaslon s porukama koji korisnik vidi gotovo je identičan zaključanim zaslonima Petya i NotPetya. Međutim, ovo je jedina sličnost koju smo do sada vidjeli između dva malwarea. U svim ostalim aspektima, BadRabbit je potpuno nova i jedinstvena vrsta ransomwarea,” kaže tehnički direktor tvrtke Check Point Software Technologies. Nikita Durov.

Kako se zaštititi od Bad Rabbita?

Vlasnici operativnih sustava koji nisu Windows mogu odahnuti jer novi ransomware virus čini ranjivima samo računala s ovom "osovinom".

Za zaštitu od mrežnog zlonamjernog softvera, stručnjaci preporučuju stvaranje datoteke C:\windows\infpub.dat na vašem računalu i postavljanje prava samo za čitanje za nju - to je lako učiniti u odjeljku za administraciju. Na taj način ćete blokirati izvršavanje datoteke, a svi dokumenti koji stignu izvana neće biti šifrirani čak i ako su zaraženi. Kako biste izbjegli gubitak vrijednih podataka u slučaju zaraze virusom, sada napravite sigurnosnu kopiju. I, naravno, vrijedi zapamtiti da je plaćanje otkupnine zamka koja ne jamči da će vaše računalo biti otključano.

Podsjetimo, virus se u svibnju ove godine proširio u najmanje 150 zemalja svijeta. Podatke je šifrirao i tražio otkupninu, prema različitim izvorima, od 300 do 600 dolara. Njime je pogođeno preko 200 tisuća korisnika. Prema jednoj verziji, njegovi tvorci uzeli su američki NSA malware Eternal Blue kao osnovu.

Alla Smirnova razgovarala je sa stručnjacima

Ransomware virus Bad Rabbit ili Diskcoder.D. napada korporativne mreže velikih i srednjih organizacija, blokirajući sve mreže.

Bad Rabbit ili “zločesti zec” teško se može nazvati pionirom – prethodili su mu enkripcijski virusi Petya i WannaCry.

Bad Rabbit - kakav virus

Stručnjaci antivirusne tvrtke ESET istražili su širenje novog virusa i otkrili da je Bad Rabbit prodro u računala žrtava pod krinkom ažuriranja. Adobe Flash za preglednik.

Antivirusna tvrtka vjeruje da je kriptor Win32/Diskcoder.D, nazvan Bad Rabbit, modificirana verzija Win32/Diskcoder.C, poznatiji kao Petya/NotPetya, koji je u lipnju zahvatio IT sustave organizacija u nekoliko zemalja. Veza između Bad Rabbita i NotPetya označena je podudarnostima u kodu.

Napad koristi program Mimikatz koji presreće prijave i lozinke na zaraženom računalu. Također u kodu postoje već registrirane prijave i lozinke za pokušaje dobivanja administrativnog pristupa.

Novi maliciozni program ispravlja pogreške u enkripciji datoteka - kod koji se koristi u virusu dizajniran je za šifriranje logičkih pogona, eksternih USB pogona i CD/DVD slika, kao i particija diska sustava za podizanje sustava. Dakle, stručnjaci za dešifriranje će morati potrošiti puno vremena da otkriju tajnu Loš virus Zec, kažu stručnjaci.

Novi virus, prema riječima stručnjaka, radi prema standardnoj shemi za kriptore - ulazeći u sustav niotkuda, kodira datoteke za čije šifriranje hakeri traže otkupninu u bitcoinima.

Otključavanje jednog računala koštat će 0,05 bitcoina, što je oko 283 dolara po trenutnom kursu. Ako je otkupnina plaćena, prevaranti će poslati poseban ključni kod koji će vam omogućiti vraćanje normalan rad sustav i ne izgubiti sve.

Ako korisnik ne prenese sredstva unutar 48 sati, iznos otkupnine će se povećati.

Ali vrijedi zapamtiti da plaćanje otkupnine može biti zamka koja ne jamči da će računalo biti otključano.

ESET napominje da je zlonamjerni softver trenutno povezan s udaljeni poslužitelj odsutan.

Virus je najviše pogodio ruske korisnike, au manjoj mjeri tvrtke u Njemačkoj, Turskoj i Ukrajini. Širenje se dogodilo putem zaraženih medija. Poznate zaražene stranice već su blokirane.

ESET vjeruje da je statistika napada u velikoj mjeri u skladu s geografskom distribucijom stranica koje sadrže zlonamjerni JavaScript.

Kako se zaštititi

Stručnjaci iz Group-IB-a, koji se bavi prevencijom i istraživanjem kibernetičkog kriminala, dali su preporuke kako se zaštititi od virusa Bad Rabbit.

Konkretno, da biste se zaštitili od online štetočina, trebate stvoriti datoteku C:\windows\infpub.dat na svom računalu i postaviti prava samo za čitanje za nju u odjeljku za administraciju.

Ova radnja će blokirati izvršavanje datoteke, a svi dokumenti koji stignu izvana neće biti šifrirani čak i ako su zaraženi. Potrebno je napraviti sigurnosnu kopiju svih vrijednih podataka kako ih u slučaju infekcije ne biste izgubili.

Stručnjaci Group-IB također savjetuju blokiranje IP adresa i imena domena, iz kojih su distribuirane zlonamjerne datoteke, blokiraju skočne prozore za korisnike.

Također se preporučuje brzo izolirati računala u sustavu za otkrivanje upada. Korisnici računala također bi trebali provjeriti relevantnost i integritet sigurnosne kopije ključne mrežne čvorove i ažuriranje operativnih sustava i sigurnosnih sustava.

"U smislu politike lozinki: postavke grupna politika spriječiti pohranjivanje lozinki u čistom tekstu u LSA Dump. Promijenite sve lozinke u složene”, dodala je tvrtka.

Prethodnici

Virus WannaCry proširio se u najmanje 150 zemalja u svibnju 2017. Podatke je šifrirao i tražio otkupninu, prema različitim izvorima, od 300 do 600 dolara.

Njime je pogođeno preko 200 tisuća korisnika. Prema jednoj verziji, njegovi tvorci uzeli su američki NSA malware Eternal Blue kao osnovu.

Globalni napad ransomware virusa Petya 27. lipnja pogodio je IT sustave kompanija u nekoliko zemalja diljem svijeta, najviše u Ukrajini.

Napadnuta su računala naftnih, energetskih, telekomunikacijskih, farmaceutskih tvrtki, kao i vladinih agencija. Ukrajinska cyber policija izjavila je da se napad ransomwareom dogodio preko programa M.E.doc.

Materijal je pripremljen na temelju otvorenih izvora

U kasnim 1980-ima, virus AIDS-a ("PC Cyborg"), koji je napisao Joseph Popp, skrivao je imenike i šifrirane datoteke, zahtijevajući plaćanje od oko 200 dolara za "obnavljanje licence". Isprva je ransomware bio usmjeren samo na obične ljude koji su koristili pokrenuta računala Windows kontrola, no sada je sama prijetnja postala ozbiljan problem za poslovanje: pojavljuje se sve više programa, postaju jeftiniji i dostupniji. Iznuda korištenjem zlonamjernog softvera glavna je cyber prijetnja u 2/3 zemalja EU-a. Jedan od najčešćih ransomware virusa, CryptoLocker, zarazio je više od četvrt milijuna računala u zemljama EU od rujna 2013. godine.

U 2016. broj napada ransomwarea naglo je porastao — prema analitičarima, više od sto puta u usporedbi s prethodnom godinom. To je sve veći trend, a kao što smo vidjeli bili smo potpuno napadnuti. razne tvrtke i organizacije. Prijetnja je također relevantna za neprofitne organizacije. Budući da za svaki veći napad malware nadograđuju i testiraju napadači kako bi "prošli". antivirusna zaštita, antivirusi su u pravilu nemoćni protiv njih.

Služba sigurnosti Ukrajine upozorila je 12. listopada na vjerojatnost novih velikih cyber napada na vladine agencije i privatne tvrtke, slično lipanjskoj epidemiji ransomwarea Ne Petya. Prema ukrajinskoj obavještajnoj službi, "napad bi mogao biti izveden korištenjem ažuriranja, uključujući javno dostupan aplikacijski softver." Sjetimo se da u slučaju napada Ne Petja, koju su istraživači povezali s grupom BlackEnergy, prve žrtve bile su tvrtke koje su koristile softver ukrajinskog razvijača sustava za upravljanje dokumentima M.E.Doc.

Tada su u prva 2 sata napadnute energetske, telekomunikacijske i financijske tvrtke: Zaporozhyeoblenergo, Dneproenergo, Dnjepar Electric Power System, Mondelez International, Oschadbank, Mars, " Nova Pošta", Nivea, TESA, Kijevski metro, računala Kabineta ministara i Vlade Ukrajine, trgovine Auchan, ukrajinski operateri (Kyivstar, LifeCell, UkrTeleCom), Privatbank, zračna luka Boryspil.

Nešto ranije, u svibnju 2017., ransomware virus WannaCry napao je 200.000 računala u 150 zemalja. Virus se proširio mrežama sveučilišta u Kini, tvornicama Renaulta u Francuskoj i Nissana u Japanu, telekomunikacijske tvrtke Telefonica u Španjolskoj i željezničkog operatera Deutsche Bahn u Njemačkoj. Zbog blokiranih računala u britanskim klinikama, operacije su morale biti odgođene, a regionalne jedinice ruskog Ministarstva unutarnjih poslova nisu mogle izdati vozačke dozvole. Istraživači su rekli da iza napada stoje sjevernokorejski hakeri iz Lazarusa.

U 2017. ransomware virusi dosegli su nova razina: korištenje alata iz arsenala američkih obavještajnih službi i novih distribucijskih mehanizama od strane kibernetičkih kriminalaca dovelo je do međunarodnih epidemija, od kojih su najveće bile WannaCry i NotPetya. Unatoč razmjerima infekcije, sam ransomware prikupio je relativno beznačajne iznose - najvjerojatnije to nisu bili pokušaji zarade, već testiranje razine zaštite kritičnih infrastrukturnih mreža poduzeća, vladinih agencija i privatnih tvrtki.

Kraj listopada ove godine obilježila je pojava novog virusa koji je aktivno napadao računala korporativnih i kućnih korisnika. Novi virus je kriptor i zove se Bad Rabbit, što znači loš zec. Ovaj virus korišten je za napad na web stranice nekoliko ruskih medija. Kasnije je virus otkriven u informacijskim mrežama ukrajinskih poduzeća. Tamo su napadnute informacijske mreže metroa, raznih ministarstava, međunarodnih zračnih luka itd. Nešto kasnije, sličan napad virusa primijećen je u Njemačkoj i Turskoj, iako je njegova aktivnost bila znatno niža nego u Ukrajini i Rusiji.

Zlonamjerni virus je poseban dodatak koji, nakon što dođe do računala, šifrira njegove datoteke. Nakon što su informacije šifrirane, napadači pokušavaju dobiti nagradu od korisnika za dekriptiranje njihovih podataka.

Širenje virusa

Stručnjaci iz laboratorija za razvoj antivirusnog softvera ESET analizirali su algoritam putanje širenja virusa i došli do zaključka da se radi o modificiranom virusu koji se širio ne tako davno, poput virusa Petya.

Laboratorijski stručnjaci ESET-a utvrdili su da su zlonamjerni dodaci distribuirani s resursa 1dnscontrol.com i IP adrese IP5.61.37.209. Nekoliko drugih izvora također je povezano s ovom domenom i IP-om, uključujući secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.

Stručnjaci su istražili da su vlasnici ovih stranica registrirali mnogo različitih resursa, na primjer, onih putem kojih pokušavaju prodati krivotvorene lijekove koristeći neželjenu poštu. Stručnjaci ESET-a ne isključuju da je uz pomoć ovih resursa, korištenjem neželjene pošte i krađe identiteta, izvršen glavni kibernetički napad.

Kako dolazi do infekcije virusom Bad Rabbit?

Stručnjaci Laboratorija za računalnu forenziku proveli su istragu kako je virus dospio na računala korisnika. Otkriveno je da se u većini slučajeva ransomware virus Bad Rabbit distribuirao kao ažuriranje Adobe Flasha. Odnosno, virus nije iskoristio nikakvu ranjivost operativni sustav, ali su ga instalirali sami korisnici koji su, ne znajući za to, odobrili njegovu instalaciju misleći da ažuriraju Adobe dodatak Bljesak. Kad je virus ušao lokalna mreža, ukrao je prijave i lozinke iz memorije i samostalno se proširio na druge računalne sustave.

Kako hakeri iznuđuju novac

Nakon što se ransomware virus instalira na računalo, on šifrira pohranjene informacije. Zatim, korisnici primaju poruku u kojoj se navodi da, kako bi dobili pristup svojim podacima, moraju izvršiti plaćanje na određenom mjestu na darknetu. Da biste to učinili, prvo morate instalirati poseban preglednik Tor. Kako bi otključali računalo, napadači iznuđuju uplatu u iznosu od 0,05 bitcoina. Danas, po cijeni od 5600 USD po Bitcoinu, to je otprilike 280 USD za otključavanje računala. Korisnik ima rok od 48 sati za plaćanje. Nakon tog razdoblja, ako traženi iznos nije doznačen na elektronički račun napadača, iznos se povećava.

Kako se zaštititi od virusa

  1. Kako biste se zaštitili od infekcije virusom Bad Rabbit, trebali biste blokirati pristup iz informacijskog okruženja gore navedenim domenama.
  2. Za kućne korisnike trebate ažurirati trenutni Windows verzije i također antivirusni program. U tom će slučaju zlonamjerna datoteka biti otkrivena kao ransomware virus, što će isključiti mogućnost njezine instalacije na računalu.
  3. Oni korisnici koji koriste ugrađeni antivirusni operativni sustav Windows sustavi, već imaju zaštitu od ovog ransomwarea. Implementira se u Windows aplikacija Antivirus Defender.
  4. Programeri antivirusnog programa iz Kaspersky Laba savjetuju svim korisnicima da povremeno naprave sigurnosnu kopiju svojih podataka. Osim toga, stručnjaci preporučuju blokiranje izvršavanja datoteka c:\windows\infpub.dat, c:\WINDOWS\cscc.dat, a također, ako je moguće, treba zabraniti korištenje WMI usluge.

Zaključak

Svaki bi korisnik računala trebao zapamtiti da kibernetička sigurnost treba biti na prvom mjestu kada radi na mreži. Stoga biste uvijek trebali koristiti samo provjerene proizvode. izvori informacija i koristite pažljivo elektronička pošta I društveni mediji. Kroz te resurse najčešće se šire razni virusi. Osnovna pravila ponašanja u informacijskom okruženju pomoći će u otklanjanju problema koji nastaju tijekom napada virusa.

Jučer, 24. listopada 2017., veliki ruski mediji, kao i niz ukrajinskih državnih agencija, bili su napadnuti od strane nepoznatih napadača. Među žrtvama su Interfax, Fontanka i još najmanje jedna neimenovana internetska publikacija. Nakon medija javljaju se i problemi Međunarodna zračna luka"Odesa", kijevski metro i ukrajinsko ministarstvo infrastrukture. Prema izjavi analitičara Group-IB-a, kriminalci su također pokušali napasti bankarske infrastrukture, ali su ti pokušaji bili neuspješni. Stručnjaci ESET-a pak tvrde da su napadi pogodili korisnike iz Bugarske, Turske i Japana.

Kako se pokazalo, poremećaje u radu tvrtki i državnih agencija nisu uzrokovali masovni DDoS napadi, već ransomware nazvan Bad Rabbit (neki stručnjaci radije pišu BadRabbit bez razmaka).

Jučer se malo znalo o zlonamjernom softveru i mehanizmima njegova djelovanja: objavljeno je da je ransomware tražio otkupninu od 0,05 bitcoina, a stručnjaci Group-IB-a također su rekli da se napad pripremao nekoliko dana. Tako su na web stranici napadača otkrivene dvije JS skripte, a sudeći prema informacijama sa servera, jedna od njih je ažurirana 19. listopada 2017. godine.

Sada, iako nije prošao ni dan od početka napada, analizu ransomwarea već su proveli stručnjaci iz gotovo svih vodećih svjetskih kompanija za informacijsku sigurnost. Dakle, što je Bad Rabbit i trebamo li očekivati ​​novu "ransomware epidemiju" poput WannaCry ili NotPetya?

Kako je Bad Rabbit uspio izazvati velike medijske ispade kad se sve radilo o lažnim ažuriranjima Flasha? Prema ESET , Emsisoft I Fox-IT, nakon infekcije, zlonamjerni softver koristio je uslužni program Mimikatz za izdvajanje lozinki iz LSASS-a, a također je imao popis najčešćih prijava i lozinki. Malware je sve to koristio za širenje putem SMB-a i WebDAV-a na druge poslužitelje i radne stanice koje se nalaze na istoj mreži kao i zaraženi uređaj. Istodobno, stručnjaci iz gore navedenih tvrtki i zaposlenici Cisco Talosa vjeruju da u ovom slučaju nije bilo alata ukradenog od obavještajnih službi koje su iskorištavale nedostatke u SMB-u. Da vas podsjetim na to WannaCry virusi i NotPetya distribuirani su pomoću ovog konkretnog exploita.

Međutim, stručnjaci su ipak uspjeli pronaći neke sličnosti između Bad Rabbita i Petye (NotPetya). Dakle, ransomware ne šifrira samo korisničke datoteke, koristeći DiskCryptor otvorenog koda, ali modificira MBR (Master Boot Record), nakon čega ponovno pokreće računalo i prikazuje poruku o otkupnini.

Iako je poruka sa zahtjevima napadača gotovo identična poruci NotPetya operatera, stručnjaci imaju malo drugačija mišljenja o povezanosti Bad Rabbita i NotPetye. Tako su izračunali analitičari Intezera izvorni kod malware

Povezane publikacije: