На просторах сети интернет появился новый вредонос вымогатель, который шифрует диски и запрашивает денежную компенсацию за расшифровку нужной пользователю информации. Это уже 3 массовый вымогатель шифровщик в этом году. Статья создана на основании статьи в электронном журнале ZDNet — Bad Rabbit: Ten things you need to know about the latest ransomware outbreak.
Описание
Данная вредоносная программа массовое распространение получила в России и странах восточной Европы. Первое появление было зафиксировано 24 октября 2017 года и специалисты безопасности сравнили этот вирус с ранее известными вирусами WannaCry и Petya.
В настоящее время информация о вирусе более достоверная и мы сможем обсудить что же он из себя представляет.
1. Атака была выполнена по географическому признаку — на территории России и восточной Европы
Появление вируса зафиксировано в нескольких организациях России и Украины. Некоторое количество заражений в Восточной Германии и Турции. Специалисты Avast зафиксировали появление вируса в Польше и Южной Корее.
Российская компания по кибербезопасности Group-IB зафиксировала проявления вируса как минимум в трех новостных агентствах. В статье детально разбирается технология распространения и последующих действий со стороны вируса.
Источником распространения вируса стали также сайты международного аэропорта в Одессе и сайт метро в Киеве.
2. Это несомненно вирус вымогатель
Проведя анализ работы вируса можно точно сказать, что он был специально создан для вымогательства. Дело в том, что в вирус заложен код, который посылает команду на создание нового виртуального кошелька для перечисления денег за будущую расшифровку данных на компьютере жертвы.
После того, как вирус закрепляется на компьютере жертвы, он шифрует данные на компьютере и выдает сообщение, что для расшифровки необходимо перечислить 0.05 биткойна на созданный кошелек и включает 40-ка часовой таймер до окончания данного предложения.
Для шифрования применяется бесплатный продукт DiskCryptor, который используется для полной шифровке диска. При шифровании применяются случайным образом созданные ключи и результат защищен алгоритмом RSA с публичным ключом размера 2048 бит.
3. Bad Rabbit создан с использованием кода вредоносных программ Petya и Not Petya
Специалисты информационной безопасности указывают, что Bad Rabbit создан одной и той же группой, что и вирус Petya. Вывод был сделан после анализа кода Bad Rabbit и сравнения его с участками кода вируса Petya и при сравнении были выявлены похожие участки и способы работы обоих вредоносных программ.
В лаборатории Crowdstrike были проанализированы динамически загружаемые библиотеки (dll) вирусов Bad Rabbit и NotPetya. Было найдено более 60% общего кода в этих библиотеках.
4. Bad Rabbit распространяется через фальшивое обновление для Flash Player
Вирус распространяется через известные сайты крупных компаний используя уязвимости на этих сайтах или через внутреннюю структуру управления сайтом. Также применяются технологии «фишинга» для того, чтобы «заманить» пользователя на подменные известные сайты. Пользователю, зашедшему на подложный сайт или сайт с участком вредоносного кода предлагается обновить свой Flash Player. Если пользователь соглашается обновить программу, то на компьютер пользователя загружается вредоносная часть и устанавливается на компьютер.
5. Вирус может распространяться внутри локальных сетей
Вирус использует те же механизмы, что и вирус Petya для распространения внутри локальной сети. В него включены механизмы записи на сетевые SMB ресурсы без механизмов аутентификации, также в него включен механизм подбора паролей со словарем наиболее часто используемых простых учетных записей и паролей.
6. Bad Rabbit не использует уязвимость EternalBlue
При своем распространении не замечено активности использования уязвимости EternalBlue, которую использовал для своего распространения WannaCry.
7. В заражениях Bad Rabbit замечена избирательность при выборе жертвы
Подобно вирусу WannaCry по всему миру регистрировались случаи заражения сотнями тысяч. Но в отличии от WannaCry замечено, что вирус Bad Rabbit заражает не все компьютеры подряд, а выбранные жертвы.
В лаборатории Касперского исследователи сказали: «Все признаки указывают на то, что это целенаправленная атака на корпоративные сети»
Между тем в лаборатории ESET обнаружили, что в инструкции инъекций на сайтах введен анализ интересов посетителя, прежде чем предлагается зараженный контент.
Тем не менее в настоящее время нет точных данных причин выбора объекта заражения вирусом.
8. Нет точной информации, кто стоит за этой атакой
В настоящее время не известно кто распространяет вирус и имеет ли он иные цели, кроме зарабатывания денег. Схожесть кода вируса с вирусом Petya дает возможность предположить, что Bad Rabbit создала та же команда. Но так как не была поймана или идентифицирована группа, создавшая вредоносную программу Petya, то это не добавляет информации для идентификации создателей Bad Rabbit.
9. Во вредоносной программе есть связь с «Игра престолов»
В коде программы обнаружены использование английских характерных слов из сериала «Игра престолов». Например такие слова как Viserion, Drogon и Rhaegal. Такое ощущение, что авторы кода сохраняют стереотип представления хакеров как ботаников и вундеркиндов.
10. Как защитить себя от инфекции?
Лаборатории безопасности не опубликовали способа расшифровки без ключа, который вымогатели обещают выслать в обмен на выкуп. Поэтому рекомендуем выполнять обновление и установку программного обеспечения из проверенных источников и надежными механизмами установки и обновления, рекомендуемыми производителями. Если Вы не уверены в предлагаемых на сайтах действиях, рекомендуем их не делать, а лучше доверьте эту работу профессионалам.
Для того, чтобы обеспечить защиту своего компьютера достаточно выполнить несколько технологических действий, рекомендуемых лабораторией Касперского:
- Заблокируйте исполнение файлов c:\windows\infpub.dat, C:\Windows\cscc.dat.
- Запретите (если это возможно) использование сервиса WMI.
Данную защиту можно выполнить с помощью обычных средств Windows. Если Вам необходимо выполнить защиту на большом количестве компьютеров, то рекомендуем Вам использовать специализированные средства удаленного управления.
Об авторе