Все новости

Как работает вирус-шифровальщик Bad Rabbit

Вредоносный "Плохой кролик" атаковал Россию и Украину, а впоследствии добрался до Турции и Германии

Новый вирус-шифровальщик Bad Rabbit ("Плохой кролик") во вторник атаковал сайты ряда российских СМИ. В частности, атакам подверглись информационные системы агентства "Интерфакс", а также сервер петербургского новостного портала "Фонтанка". После полудня Bad Rabbit начал распространяться на Украине — вирус поразил компьютерные сети Киевского метрополитена, министерства инфраструктуры, международного аэропорта Одессы. Похожие атаки наблюдаются в Турции и Германии, хотя и в значительно меньшем количестве. ТАСС объясняет, что это за вирус, как от него уберечься и кто может за ним стоять.

Bad Rabbit — это вирус-шифровальщик

1

Вредоносная программа заражает компьютер, шифруя на нем файлы. Для получения доступа к ним вирус предлагает совершить платеж на указанном сайте в даркнете (для этого потребуется браузер Tor). За разблокировку каждого компьютера хакеры требуют заплатить 0,05 биткойна, то есть примерно 16 тыс. рублей или $280. На выкуп отводится 48 часов — после истечения этого срока сумма увеличивается.

По данным лаборатории компьютерной криминалистики компании Group-IB, вирус-шифровальщик пытался атаковать не только российские СМИ, но и российские банки из топ-20, однако ему это не удалось.

Это модификация старого вируса

2

По данным вирусной лаборатории ESET, в атаке использовалось вредоносное программное обеспечение Diskcoder.D — новая модификация шифратора, известного как Petya. Предыдущая версия Diskcoder была задействована в кибератаке в июне 2017 года. В Group-IB считают, что вирус Bad Rabbit мог написать автор NotPetya (это обновленная версия "Пети" 2016 года) или его последователь.

"Раздача вредоносного ПО проводилась с ресурса 1dnscontrol.com. Он имеет IP 5.61.37.209, с этим доменным именем и IP-адресом связаны следующие ресурсы: webcheck01.net, webdefense1.net, secure-check.host, firewebmail.com, secureinbox.email, secure-dns1.net", — рассказали ТАСС в Group-IB. В компании отметили, что на владельцев этих сайтов зарегистрировано множество ресурсов, например, так называемые фарм-партнерки — сайты, которые через спам продают контрафактные медикаменты. "Не исключено, что они использовались для рассылки спама, фишинга", — добавили в компании.

Bad Rabbit распространялся под видом обновления плагина Adobe Flash

3

Пользователи самостоятельно одобряли установку этого обновления и таким образом заражали свой компьютер. "Никаких уязвимостей вообще не было, пользователи сами запускали файл", — подчеркнул замглавы лаборатории компьютерной криминалистики Group-IB Сергей Никитин. Попав в локальную сеть, Bad Rabbit крадет из памяти логины и пароли и может самостоятельно устанавливаться на другие компьютеры.

Вируса достаточно легко избежать

4

Чтобы защититься от заражения Bad Rabbit, компаниям достаточно заблокировать указанные домены для пользователей корпоративной сети. Домашним пользователям следует обновить Windows и антивирусный продукт — тогда этот файл будет детектироваться как вредоносный.

Пользователи встроенного антивируса операционной системы Windows — Windows Defender Antivirus — уже защищены от Bad Rabbit. "Мы продолжаем расследование, и при необходимости мы примем дополнительные меры по защите наших пользователей", — рассказала ТАСС пресс-секретарь корпорации Microsoft в России Кристина Давыдова.

"Лаборатория Касперского" также подготовила рекомендации для того, чтобы не стать жертвами новой эпидемии. Производитель антивирусов посоветовал всем сделать бэкап (резервное копирование). Кроме того, компания рекомендовала заблокировать исполнение файла c:\windows\infpub.dat, C:\Windows\cscc.dat, а также, если возможно, запретить использование сервиса WMI.

Минкомсвязи считает, что атака на российские СМИ не была целенаправленной

5

"При всем уважении к большим СМИ, это не критический объект инфраструктуры", — сказал глава Минкомсвязи Николай Никифоров, добавив, что какую-то определенную цель хакеры вряд ли преследовали. По его мнению, такие атаки, в частности, связаны с нарушением мер безопасности при подключении к "открытому интернету". "Скорее всего, эта информационная система ("Интерфакса" — прим. ТАСС) не сертифицирована", — предположил министр.

Основная волна распространения вируса уже завершилась

6

"Сейчас можно говорить о прекращении активного распространения вируса, третья эпидемия практически завершилась. Даже домен, через который распространялся Bad Rabbit, уже не отвечает", — сообщили в Group-IB. По словам Сергея Никитина, возможны единичные случаи заражения вирусом, в частности в корпоративных сетях, где уже были украдены логины и пароли, и вирус может установиться сам, без участия пользователя. Однако уже можно говорить о завершении основной волны третьей эпидемии вируса-шифровальщика в 2017 году.

Напомним, что в мае компьютеры по всему миру атаковал вирус WannaCry. На зараженных компьютерах блокировалась информация, а за разблокировку данных злоумышленники требовали $600 в биткойнах. В июне другой вирус под названием Petya атаковал нефтяные, телекоммуникационные и финансовые компании России, Украины и некоторые страны ЕС. Принцип его действия был таким же: вирус шифровал информацию и требовал выкуп в размере $300 в биткойнах.