Vírus ransomware, známy ako Bad Rabbit, zaútočil na desaťtisíce počítačov na Ukrajine, v Turecku a Nemecku. Väčšina útokov sa však odohrala v Rusku. Čo je to za vírus a ako chrániť svoj počítač, vám povieme v sekcii Otázky a odpovede.

Kto trpel zlým králikom v Rusku?

Vírus ransomware Bad Rabbit sa začal šíriť 24. októbra. Medzi obeťami jeho činov je tlačová agentúra Interfax a publikácia Fontanka.ru.

Konaním hackerov utrpelo aj kyjevské metro a letisko Odessa. Potom sa dozvedeli o pokuse hacknúť systémy niekoľkých ruských bánk z top 20.

Podľa všetkého ide o cielený útok na firemné siete, pretože sa používajú metódy podobné tým, ktoré boli pozorované pri útoku vírusom ExPetr.

Nový vírus požaduje pre každého jednu: výkupné vo výške 0,05 bitcoinu. V prepočte na ruby ​​je to asi 16 tisíc rubľov. Uvádza však, že čas na splnenie tejto požiadavky je obmedzený. Na všetko sa dáva niečo viac ako 40 hodín. Ďalej sa zvýši poplatok za odkúpenie.

Čo je to za vírus a ako funguje?

Už ste zistili, kto stojí za jej šírením?

Kto za týmto útokom stojí, sa zatiaľ nepodarilo zistiť. Vyšetrovanie priviedlo programátorov len k názvu domény.

Odborníci z antivírusových spoločností zaznamenávajú podobnosť nového vírusu s vírusom Petya.

Ale na rozdiel od predchádzajúcich vírusov v tomto roku sa hackeri tentoraz rozhodli ísť jednoduchou cestou, uvádza 1tv.ru.

„Zločinci zrejme očakávali, že vo väčšine spoločností používatelia po týchto dvoch útokoch aktualizujú svoje počítače, a rozhodli sa vyskúšať pomerne lacný liek – sociálne inžinierstvo s cieľom infikovať používateľov spočiatku relatívne nepozorovane,“ povedal Vyacheslav Zakorzhevsky, vedúci oddelenia výskumu antivírusov v Kaspersky Lab.

Ako chrániť počítač pred vírusom?

Určite to urobte záložná kópia váš systém. Ak na ochranu používate Kaspersky, ESET, Dr.Web alebo iné populárne analógy, mali by ste okamžite aktualizovať databázy. Pre Kaspersky je tiež potrebné povoliť “Monitoring aktivity” (System Watcher) a v ESETe je potrebné aplikovať podpisy s aktualizáciou 16295, informuje talkdevice.

Ak nemáte antivírusové programy, zablokujte spustenie súborov C:\Windows\infpub.dat a C:\Windows\cscc.dat. Robí sa to cez editor skupinové politiky alebo AppLocker pre Windows.

Zastavte spustenie služby - Windows Management Instrumentation (WMI). Pomocou pravého tlačidla zadajte vlastnosti služby a v časti „Typ spustenia“ vyberte režim „Zakázané“.

Ransomware vírus Bad Rabbit alebo Diskcoder.D. útočí na podnikové siete veľkých a stredne veľkých organizácií, pričom blokuje všetky siete.

Bad Rabbit alebo „zlý králik“ možno len ťažko nazvať priekopníkom – predchádzali mu šifrovacie vírusy Petya a WannaCry.

Bad Rabbit - aký druh vírusu

Odborníci z antivírusovej spoločnosti ESET skúmali šírenie nového vírusu a zistili, že Bad Rabbit prenikol do počítačov obetí pod zámienkou aktualizácie. Adobe Flash pre prehliadač.

Antivírusová spoločnosť sa domnieva, že šifrovanie Win32/Diskcoder.D s názvom Bad Rabbit je upravená verzia Win32/Diskcoder.C, známejší ako Petya/NotPetya, ktorý v júni zasiahol IT systémy organizácií vo viacerých krajinách. Spojenie medzi Bad Rabbit a NotPetya je naznačené zhodami v kóde.

Útok využíva program Mimikatz, ktorý zachytáva prihlasovacie mená a heslá na infikovanom počítači. V kóde sú už zaregistrované prihlasovacie mená a heslá pre pokusy o získanie administratívneho prístupu.

Nový malvér opravuje chyby v šifrovaní súborov – kód použitý vo víruse je určený na šifrovanie logické jednotky, externé USB disky a obrazy CD/DVD, ako aj oddiely zavádzacieho systémového disku. Odborníci na dešifrovanie teda budú musieť stráviť veľa času, aby odhalili tajomstvo vírusu Bad Rabbit, hovoria odborníci.

Nový vírus podľa odborníkov funguje podľa štandardnej schémy pre šifrovačov – do systému vstúpi odnikiaľ, zakóduje súbory, za šifrovanie ktorých hackeri požadujú výkupné v bitcoinoch.

Odomknutie jedného počítača bude stáť 0,05 bitcoinu, čo je pri aktuálnom kurze približne 283 dolárov. Ak je výkupné zaplatené, podvodníci pošlú špeciálny kľúčový kód, ktorý vám umožní obnoviť normálnu prevádzku systému a nestratiť všetko.

Ak používateľ neprevedie prostriedky do 48 hodín, výkupné sa zvýši.

Je však potrebné pripomenúť, že zaplatenie výkupného môže byť pascou, ktorá nezaručuje, že počítač bude odomknutý.

ESET poznamenáva, že momentálne neexistuje žiadne spojenie medzi malvérom a vzdialeným serverom.

Vírus najviac zasiahol ruských používateľov, v menšej miere aj firmy v Nemecku, Turecku a na Ukrajine. K šíreniu došlo prostredníctvom infikovaných médií. Známe infikované stránky už boli zablokované.

ESET verí, že štatistiky útokov sú do značnej miery konzistentné s geografickým rozložením stránok obsahujúcich škodlivý JavaScript.

Ako sa chrániť

Špecialisti zo skupiny Group-IB, ktorá sa zaoberá prevenciou a vyšetrovaním počítačovej kriminality, dali odporúčania, ako sa chrániť pred vírusom Bad Rabbit.

Najmä na ochranu pred online škodcom je potrebné, aby ste si na svojom počítači vytvorili súbor C:\windows\infpub.dat a v sekcii administrácie mu nastavili práva len na čítanie.

Táto akcia zablokuje spustenie súboru a všetky dokumenty prichádzajúce zvonka nebudú šifrované, aj keď sú infikované. Je potrebné vytvoriť záložnú kópiu všetkých cenných údajov, aby ste ich v prípade infekcie nestratili.

Group-IB špecialisti tiež radia blokovať IP adresy a názvy domén, z ktorej sa šíril škodlivé súbory, nastavte pre používateľov blokovanie automaticky otváraných okien.

Odporúča sa tiež rýchlo izolovať počítače v systéme detekcie narušenia. Používatelia PC by sa mali tiež uistiť, že záložné kópie kľúčových sieťových uzlov sú aktuálne a neporušené a že operačné systémy a bezpečnostné systémy sú aktualizované.

„Pokiaľ ide o politiku hesiel: použite nastavenia skupinovej politiky na zákaz ukladania hesiel v LSA Dump vo forme čistého textu, zmeňte všetky heslá na zložité,“ dodala spoločnosť.

Predchodcovia

Vírus WannaCry sa v máji 2017 rozšíril v najmenej 150 krajinách. Informácie zašifroval a požadoval zaplatiť výkupné, podľa rôznych zdrojov od 300 do 600 dolárov.

Zasiahlo viac ako 200 tisíc používateľov. Podľa jednej verzie si jeho tvorcovia vzali za základ malvér Večná modrá americká NSA.

Globálny útok vírusu Petya ransomware z 27. júna zasiahol IT systémy spoločností vo viacerých krajinách sveta, pričom najviac zasiahol Ukrajinu.

Napadnuté boli počítače ropných, energetických, telekomunikačných, farmaceutických spoločností, ako aj vládne agentúry. Ukrajinská kybernetická polícia uviedla, že k ransomvérovému útoku došlo prostredníctvom programu M.E.doc.

Materiál bol pripravený na základe otvorených zdrojov

Ahojte všetci! Len nedávno sa v Rusku a na Ukrajine, v Turecku, Nemecku a Bulharsku začal rozsiahly hackerský útok pomocou nového šifrovacieho vírusu Bad Rabbit, známeho aj ako Diskcoder.D. Šifrovač je zapnutý tento momentútočí na podnikové siete veľkých a stredne veľkých organizácií, pričom blokuje všetky siete. Dnes vám povieme, čo je tento trójsky kôň a ako sa pred ním môžete chrániť.

Aký druh vírusu?

Bad Rabbit funguje podľa štandardnej schémy pre ransomvér: akonáhle vstúpi do systému, zakóduje súbory, na dešifrovanie ktorých hackeri požadujú 0,05 bitcoinu, čo je pri výmennom kurze 283 dolárov (alebo 15 700 rubľov). Toto je hlásené samostatné okno, kde vlastne musíte zadať zakúpený kľúč. Hrozba je typ trójskeho koňa Trojan.Win32.Generic, obsahuje však aj ďalšie zložky, ako napr DangerousObject.Multi.Generic A Ransom.Win 32.Gen.ftl.

Zlý králik nový vírus kryptograf

Stále je ťažké úplne vystopovať všetky zdroje infekcie, ale odborníci na tom teraz pracujú. Pravdepodobne sa hrozba dostane do počítača prostredníctvom infikovaných stránok, na ktorých je nakonfigurované presmerovanie, alebo pod zámienkou falošných aktualizácií populárnych doplnkov, ako je Adobe Flash. Zoznam takýchto stránok sa len rozširuje.

Je možné odstrániť vírus a ako sa chrániť?

Okamžite stojí za zmienku, že v súčasnosti všetky antivírusové laboratóriá začali analyzovať tento trójsky kôň. Ak konkrétne hľadáte informácie o odstraňovaní vírusov, potom žiadne také neexistujú. Okamžite zahoďme štandardnú radu - urobte zálohu systému, návratový bod, odstráňte také a také súbory. Ak nemáte uložené, potom všetko ostatné nefunguje, kvôli špecifikáciám vírusu si takéto momenty premysleli.

Myslím si, že dešifrovače pre Bad Rabbit vyrobené amatérmi budú čoskoro distribuované - či tieto programy použijete alebo nie, je vaša vlastná voľba. Ako ukázal predchádzajúci ransomvér Petya, pomáha to málo.

Môžete však zabrániť hrozbe a odstrániť ju, keď sa pokúsite dostať do počítača. Laboratóriá Kaspersky a ESET ako prvé zareagovali na správy o vírusovej epidémii a už blokujú pokusy o prienik. Prehliadač Google Chrome tiež začal detekovať infikované zdroje a varovať pred ich nebezpečenstvom. Tu je to, čo musíte urobiť, aby ste sa najskôr ochránili pred BadRabbit:

1. Ak na ochranu používate Kaspersky, ESET, Dr.Web alebo iné populárne analógy, musíte aktualizovať databázy. Pre Kaspersky je tiež potrebné povoliť “Activity Monitor” (System Watcher) a v ESETe aplikovať podpisy s aktualizáciou 16295.

   

2. Ak nepoužívate antivírusy, musíte zablokovať spustenie súboru C:\Windows\infpub.dat A C:\Windows\cscc.dat. Vykonáva sa to pomocou Editora zásad skupiny alebo programu AppLocker pre Windows.

Je vhodné zakázať vykonávanie služby - Windows Management Instrumentation (WMI). V prvej desiatke je služba tzv "Nástroje Správa systému Windows” . Pomocou pravého tlačidla zadajte vlastnosti služby a vyberte "Typ spustenia" režim "Zakázané".



3. Nezabudnite si zálohovať systém. Teoreticky by mala byť kópia vždy uložená na pripojenom médiu. Tu je krátky video návod, ako ho vytvoriť.

Záver

Na záver stojí za to povedať to najdôležitejšie - nemali by ste platiť výkupné, bez ohľadu na to, čo ste zašifrovali. Takéto akcie len povzbudzujú podvodníkov k vytváraniu nových vírusových útokov. Sledujte fóra antivírusových spoločností, ktoré, dúfam, čoskoro preštudujú vírus Bad Rabbit a nájdu účinnú tabletku. Ak chcete chrániť svoj operačný systém, postupujte podľa vyššie uvedených krokov. Ak máte problémy s ich vyplnením, napíšte do komentárov.

Bad Rabbit je vírus, ktorý patrí medzi šifrovacie ransomware vírusy. Objavil sa pomerne nedávno a je zameraný najmä na počítače používateľov v Rusku a na Ukrajine, čiastočne aj v Nemecku a Turecku.

Princíp fungovania ransomvérových vírusov je vždy rovnaký: akonáhle je škodlivý program v počítači, zašifruje systémové súbory a používateľské údaje a zablokuje prístup k počítaču pomocou hesla. Na obrazovke sa zobrazuje iba vírusové okno, požiadavky útočníka a číslo účtu, na ktorý požaduje previesť peniaze na jeho odomknutie. Po masívnom rozšírení kryptomien sa stalo populárnym požadovať výkupné v bitcoinoch, keďže transakcie s nimi sa zvonku dajú len veľmi ťažko sledovať. Zlý králik robí to isté. Využíva zraniteľné miesta operačného systému, najmä v Adobe Flash Player, a preniká pod rúškom aktualizácie pre ňu.

Po infekcii BadRabbit vytvorí v priečinku súbor Windows infpub.dat, ktorý vytvorí zvyšné programové súbory: cscc.dat a dispci.exe, ktoré vykonajú zmeny v nastaveniach Disk MBR a vytvárať ich úlohy podobné Plánovaču úloh. Tento škodlivý program má vlastnú osobnú webovú stránku na zaplatenie výkupného, ​​používa šifrovaciu službu DiskCryptor, šifruje pomocou metód RSA-2048 a AE a tiež monitoruje všetky zariadenia pripojené k tento počítač, snažiac sa nakaziť aj ich.

Podľa hodnotenia spoločnosti Symantec získal vírus status nízkej hrozby a podľa odborníkov ho vytvorili tí istí vývojári, ako vírusy objavené pár mesiacov pred Bad Rabbit, NotPetya a Petya, keďže má podobné operačné algoritmy. Ransomvér Bad Rabbit sa prvýkrát objavil v októbri 2017 a jeho prvými obeťami boli online noviny Fontanka, množstvo médií a webová stránka tlačovej agentúry Interfax. Útokom bola vystavená aj spoločnosť Beeline, no hrozba bola včas odvrátená.

Poznámka: Našťastie detekčné programy pre tieto typy hrozieb sú teraz efektívnejšie ako predtým a riziko nákazy týmto vírusom sa znížilo.

Odstránenie Bad Rabbit Virus

Obnova bootloadera

Ako vo väčšine prípadov tohto typu, na odstránenie hrozby sa môžete pokúsiť obnoviť Zavádzač systému Windows. V prípade Windows 10 a Windows 8 je na to potrebné pripojiť distribúciu inštalácie systému na USB alebo DVD a po spustení z neho prejsť na možnosť „Opraviť počítač“. Potom musíte prejsť na „Riešenie problémov“ a vybrať „ Príkazový riadok».

Teraz už zostáva len zadávať príkazy jeden po druhom a po každom zadaní nasledujúceho príkazu stlačiť Enter:

1. bootrec /FixMbr
2. bootrec /FixBoot
3. bootrec /ScanOs
4. bootrec /RebuildBcd

Po dokončení operácií ukončite a reštartujte. Najčastejšie to stačí na vyriešenie problému.
V systéme Windows 7 sú kroky rovnaké, iba v časti „Možnosti“ sa nachádza „Príkazový riadok“ obnovenie systému"na inštalačnom rozvode.

Odstránenie vírusu pomocou núdzového režimu

Ak chcete použiť túto metódu, musíte byť prihlásený. bezpečnostný mód so sieťovou podporou. Ide o sieťovú podporu a nie jednoduchý núdzový režim. V systéme Windows 10 je to možné vykonať znova prostredníctvom distribúcie inštalácie. Po zavedení z neho musíte v okne s tlačidlom „Inštalovať“ stlačiť kombináciu klávesov Shift+F10 a zadať do poľa:

bcdedit /set (predvolená) sieť safeboot

V systéme Windows 7 môžete počas zapínania počítača jednoducho niekoľkokrát stlačiť kláves F8 a vybrať tento režim zavádzania zo zoznamu v zobrazenej ponuke.
Po vstupe do núdzového režimu je hlavným cieľom skenovanie operačného systému na hrozby. Je lepšie to urobiť pomocou overených nástrojov, ako sú Reimage alebo Malwarebytes Anti-Malware.

Odstráňte hrozbu pomocou Centra obnovy

Na použitie túto metódu treba znova použiť “Príkazový riadok” ako v návode vyššie a po jeho spustení zadať cd restore a potvrdiť klávesom Enter. Potom musíte zadať rstrui.exe. Otvorí sa okno programu, v ktorom sa môžete vrátiť k predchádzajúcemu bodu obnovenia, ktorý predchádzal infekcii.

Kaspersky Lab sa domnieva, že môže ísť o predzvesť tretej vlny šifrovacích vírusov. Prvé dve boli senzačné WannaCry a Petya (alias NotPetya). Odborníci na kybernetickú bezpečnosť povedali MIR 24 o vzniku nového sieťového malvéru a o tom, ako sa chrániť pred jeho silným útokom.

Väčšina obetí útoku Bad Rabbit je v Rusku. Výrazne menej ich je na Ukrajine, v Turecku a Nemecku, poznamenal vedúci oddelenia výskumu antivírusov v Kaspersky Lab. Vjačeslav Zakorževskij. Pravdepodobne druhými najaktívnejšími krajinami boli krajiny, kde používatelia aktívne monitorujú ruské internetové zdroje.

Keď malvér infikuje počítač, zašifruje v ňom súbory. Je distribuovaný pomocou webového prenosu z napadnutých internetových zdrojov, medzi ktoré patria najmä stránky federálnych ruských médií, ako aj počítače a servery kyjevského metra, ukrajinského ministerstva infraštruktúry a medzinárodného letiska Odessa. Zaznamenaný bol aj neúspešný pokus o útok na ruské banky z prvej dvadsiatky.

O tom, že Fontanka, Interfax a množstvo ďalších publikácií zaútočil Bad Rabbit, včera informovala spoločnosť Group-IB, ktorá sa špecializuje na informačná bezpečnosť. Ukázala to analýza vírusového kódu Bad Rabbit je spájaný s ransomvérom Not Petya, ktorý v júni tento rok zaútočil na energetické, telekomunikačné a finančné spoločnosti na Ukrajine.

Útok sa pripravoval niekoľko dní a napriek rozsahu nákazy si ransomvér vyžiadal od obetí útoku relatívne malé sumy – 0,05 bitcoinu (to je asi 283 dolárov alebo 15 700 rubľov). Na odkúpenie je vyčlenených 48 hodín. Po uplynutí tejto lehoty sa suma zvyšuje.

Špecialisti Group-IB sa domnievajú, že hackeri s najväčšou pravdepodobnosťou nemajú v úmysle zarobiť peniaze. Ich pravdepodobným cieľom je skontrolovať úroveň ochrany sietí kritickej infraštruktúry podnikov, vládnych rezortov a súkromných spoločností.

Je ľahké stať sa obeťou útoku

Keď používateľ navštívi infikovanú stránku, škodlivý kód odošle informácie o ňom vzdialený server. Ďalej sa zobrazí kontextové okno so žiadosťou o stiahnutie aktualizácie pre Flash Player, ktorá je falošná. Ak používateľ schváli operáciu „Inštalovať“, súbor sa stiahne do počítača, ktorý následne spustí šifrovanie Win32/Filecoder.D v systéme. Ďalej bude prístup k dokumentom zablokovaný a na obrazovke sa zobrazí správa o výkupnom.

Vírus Bad Rabbit vyhľadá v sieti otvorené sieťové zdroje, potom na infikovanom počítači spustí nástroj na zhromažďovanie poverení a toto „správanie“ sa líši od svojich predchodcov.

Špecialisti z medzinárodného vývojára antivírusového softvéru Eset NOD 32 potvrdili, že Bad Rabbit je nová úprava Petya vírus, ktorej princíp fungovania bol rovnaký – vírus zašifroval informácie a požadoval výkupné v bitcoinoch (suma bola porovnateľná s Bad Rabbit – 300 dolárov). Nový malvér opravuje chyby v šifrovaní súborov. Kód použitý vo víruse je určený na šifrovanie logických jednotiek, externých jednotiek USB a obrazov CD/DVD, ako aj oddielov bootovateľných systémových diskov.

Hovoríme o publiku, ktoré bolo napadnuté Bad Rabbit, vedúcim podpory predaja v ESET Rusko Vitalij Zemskikh uviedol, že 65 % útokov zastavených antivírusovými produktmi spoločnosti sa vyskytlo v Rusku. Zvyšok geografie nového vírusu vyzerá takto:

Ukrajina – 12,2 %

Bulharsko – 10,2 %

Turecko – 6,4 %

Japonsko – 3,8 %

ostatné – 2,4 %

„Známe zneužitia ransomvéru softvér open source s názvom DiskCryptor na šifrovanie diskov obete. Obrazovka uzamykacej správy, ktorú používateľ vidí, je takmer identická so uzamykacími obrazovkami Petya a NotPetya. Toto je však jediná podobnosť, ktorú sme zatiaľ medzi týmito dvoma malvérmi videli. Vo všetkých ostatných aspektoch je BadRabbit úplne novým a jedinečným typom ransomvéru,“ hovorí technický riaditeľ Check Point Software Technologies. Nikita Durov.

Ako sa chrániť pred zlým králikom?

Držiaky operačné systémy Používatelia mimo systému Windows si môžu vydýchnuť, pretože nový vírus ransomware robí zraniteľnými iba počítače s touto „osou“.

Na ochranu pred sieťovým malvérom odborníci odporúčajú vytvoriť na počítači súbor C:\windows\infpub.dat a nastaviť preň práva len na čítanie – to je jednoduché v sekcii správy. Týmto spôsobom zablokujete spustenie súboru a všetky dokumenty prichádzajúce zvonka nebudú šifrované, aj keď sú infikované. Aby ste predišli strate cenných údajov v prípade vírusovej infekcie, vytvorte si záložnú kópiu. A, samozrejme, stojí za to pripomenúť, že zaplatenie výkupného je pasca, ktorá nezaručuje, že váš počítač bude odomknutý.

Pripomeňme, že vírus sa v máji tohto roku rozšíril v minimálne 150 krajinách sveta. Informácie zašifroval a požadoval zaplatiť výkupné, podľa rôznych zdrojov od 300 do 600 dolárov. Zasiahlo viac ako 200 tisíc používateľov. Podľa jednej verzie si jeho tvorcovia vzali za základ americký malvér NSA Eternal Blue.

Alla Smirnova hovorila s odborníkmi