Izsiljevalski virus, znan kot Bad Rabbit, je napadel več deset tisoč računalnikov v Ukrajini, Turčiji in Nemčiji. Toda večina napadov se je zgodila v Rusiji. Kakšna vrsta virusa je to in kako zaščititi svoj računalnik, vam povemo v rubriki Vprašanja in odgovori.

Kdo je v Rusiji trpel zaradi Bad Rabbita?

Izsiljevalski virus Bad Rabbit se je začel širiti 24. oktobra. Med žrtvami njegovih dejanj sta tiskovna agencija Interfax in publikacija Fontanka.ru.

Kijevski metro in letališče v Odesi sta prav tako trpela zaradi dejanj hekerjev. Potem je postalo znano o poskusu vdora v sisteme več ruskih bank iz top 20.

Po vseh znakih gre za ciljno usmerjen napad na korporativna omrežja, saj se uporabljajo metode, podobne tistim, opaženim pri napadu virusa ExPetr.

Novi virus vsem postavlja eno zahtevo: odkupnino v višini 0,05 Bitcoina. V rubljih je to približno 16 tisoč rubljev. Vendar pa poroča, da je čas za izpolnitev te zahteve omejen. Za vse je danih nekaj več kot 40 ur. Poleg tega se bo odkupna provizija povečala.

Kaj je ta virus in kako deluje?

Ste že ugotovili, kdo stoji za njenim širjenjem?

Kdo stoji za tem napadom, še ni bilo mogoče ugotoviti. Preiskava je programerje pripeljala le do imena domene.

Strokovnjaki protivirusnih podjetij ugotavljajo podobnost novega virusa z virusom Petya.

A za razliko od prejšnjih letošnjih virusov so se tokrat hekerji odločili za preprosto pot, poroča 1tv.ru.

»Očitno so kriminalci pričakovali, da bodo v večini podjetij uporabniki posodobili svoje računalnike po teh dveh napadih, in so se odločili poskusiti z dokaj poceni zdravilom - socialni inženiring, da bi sprva relativno neopazno okužil uporabnike,« je dejal Vyacheslav Zakorzhevsky, vodja protivirusnega raziskovalnega oddelka pri Kaspersky Lab.

Kako zaščititi računalnik pred virusom?

Bodite prepričani, da storite varnostno kopijo vaš sistem. Če za zaščito uporabljate Kaspersky, ESET, Dr.Web ali druge priljubljene analoge, morate nemudoma posodobiti baze podatkov. Prav tako morate za Kaspersky omogočiti »Nadzor dejavnosti« (System Watcher), v ESET pa morate uporabiti podpise s posodobitvijo 16295, sporoča talkdevice.

Če nimate protivirusnih programov, blokirajte izvajanje datotek C:\Windows\infpub.dat in C:\Windows\cscc.dat. To se naredi prek urejevalnika pravilnike skupine ali AppLocker za Windows.

Zaustavite izvajanje storitve - Windows Management Instrumentation (WMI). Z desnim gumbom vnesite lastnosti storitve in izberite način »Onemogočeno« v »Vrsta zagona«.

Izsiljevalski virus Bad Rabbit ali Diskcoder.D. napade korporativna omrežja velikih in srednje velikih organizacij ter blokira vsa omrežja.

Bad Rabbit ali "slab zajec" težko imenujemo pionir - pred njim sta bila šifrirna virusa Petya in WannaCry.

Bad Rabbit - kakšen virus

Strokovnjaki protivirusnega podjetja ESET so raziskali širjenje novega virusa in ugotovili, da je Bad Rabbit prodrl v računalnike žrtev pod krinko posodobitve. Adobe Flash za brskalnik.

Protivirusno podjetje verjame, da je šifrirnik Win32/Diskcoder.D, imenovan Bad Rabbit, spremenjena različica Win32/Diskcoder.C, bolj znan kot Petya/NotPetya, ki je junija zadel IT sisteme organizacij v več državah. Povezava med Bad Rabbit in NotPetya je označena z ujemanji v kodi.

Napad uporablja program Mimikatz, ki prestreže prijave in gesla na okuženem računalniku. Tudi v kodi so že registrirane prijave in gesla za poskuse pridobitve skrbniškega dostopa.

Nova zlonamerna programska oprema odpravlja napake pri šifriranju datotek – koda, uporabljena v virusu, je namenjena šifriranju logični pogoni, zunanji USB pogoni in slike CD/DVD, kot tudi zagonske particije sistemskega diska. Zato bodo morali strokovnjaki za dešifriranje porabiti veliko časa, da bodo odkrili skrivnost virusa Bad Rabbit, pravijo strokovnjaki.

Novi virus po mnenju strokovnjakov deluje po standardni shemi za šifratorje - ko vstopi v sistem od nikoder, zakodira datoteke, za šifriranje katerih hekerji zahtevajo odkupnino v bitcoinih.

Odklepanje enega računalnika bo stalo 0,05 bitcoina, kar je po trenutnem tečaju približno 283 dolarjev. Če je odkupnina plačana, bodo prevaranti poslali posebno ključno kodo, ki vam bo omogočila, da obnovite normalno delovanje sistema in ne izgubite vsega.

Če uporabnik ne nakaže sredstev v 48 urah, se znesek odkupnine poveča.

Vendar si velja zapomniti, da je plačilo odkupnine lahko past, ki ne zagotavlja, da bo računalnik odklenjen.

ESET ugotavlja, da trenutno ni povezave med zlonamerno programsko opremo in oddaljenim strežnikom.

Virus je najbolj prizadel ruske uporabnike, v manjši meri pa podjetja v Nemčiji, Turčiji in Ukrajini. Do širjenja je prišlo prek okuženih medijev. Znana okužena mesta so že blokirana.

ESET meni, da je statistika napadov v veliki meri skladna z geografsko porazdelitvijo spletnih mest, ki vsebujejo zlonamerni JavaScript.

Kako se zaščititi

Strokovnjaki skupine Group-IB, ki se ukvarja s preprečevanjem in preiskovanjem kibernetske kriminalitete, so podali priporočila, kako se zaščititi pred virusom Bad Rabbit.

Zlasti za zaščito pred spletnim škodljivcem morate v računalniku ustvariti datoteko C:\windows\infpub.dat in v skrbniškem razdelku zanjo nastaviti pravice samo za branje.

To dejanje bo blokiralo izvajanje datoteke in vsi dokumenti, ki prispejo od zunaj, ne bodo šifrirani, tudi če so okuženi. Ustvariti je treba varnostno kopijo vseh dragocenih podatkov, da jih v primeru okužbe ne izgubite.

Strokovnjaki Group-IB svetujejo tudi blokiranje naslovov IP in imena domen, iz katerega je potekalo širjenje zlonamerne datoteke, nastavite blokator pojavnih oken za uporabnike.

Priporočljivo je tudi hitro izolacijo računalnikov v sistemu za zaznavanje vdorov. Uporabniki osebnih računalnikov morajo zagotoviti tudi, da so varnostne kopije ključnih omrežnih vozlišč aktualne in nedotaknjene ter da so operacijski sistemi in varnostni sistemi posodobljeni.

"Glede politike gesel: uporabite nastavitve pravilnika skupine, da prepoveste shranjevanje gesel v LSA Dump v čistem besedilu. Spremenite vsa gesla v zapletena," je dodalo podjetje.

Predhodniki

Virus WannaCry se je maja 2017 razširil v najmanj 150 državah. Podatke je šifriral in zahteval plačilo odkupnine, po različnih virih od 300 do 600 dolarjev.

Prizadela je več kot 200 tisoč uporabnikov. Po eni različici so njeni ustvarjalci vzeli za osnovo zlonamerna programska oprema Ameriška NSA Eternal Blue.

Globalni napad izsiljevalskega virusa Petya 27. junija je prizadel IT sisteme podjetij v več državah po svetu, prizadel pa je predvsem Ukrajino.

Napadeni so bili računalniki naftnih, energetskih, telekomunikacijskih, farmacevtskih podjetij, pa tudi vladnih agencij. Ukrajinska kibernetska policija je izjavila, da se je napad z izsiljevalsko programsko opremo zgodil prek programa M.E.doc.

Gradivo je bilo pripravljeno na podlagi odprtih virov

Pozdravljeni vsi skupaj! Ravno pred dnevi se je začel obsežen hekerski napad v Rusiji in Ukrajini, Turčiji, Nemčiji in Bolgariji z novim izsiljevalskim virusom Bad Rabbit, znanim tudi kot Diskcoder.D. Enkriptor vklopljen ta trenutek napade korporativna omrežja velikih in srednje velikih organizacij ter blokira vsa omrežja. Danes vam bomo povedali, kaj je ta trojanec in kako se lahko zaščitite pred njim.

Kakšen virus?

Bad Rabbit deluje po standardni shemi za izsiljevalsko programje: ko vstopi v sistem, zakodira datoteke, za dešifriranje katerih hekerji zahtevajo 0,05 bitcoina, kar po menjalnem tečaju znaša 283 dolarjev (ali 15.700 rubljev). To se poroča ločeno okno, kjer dejansko morate vnesti kupljeni ključ. Grožnja je vrsta trojanca Trojan.Win32.Generic, vsebuje pa tudi druge sestavine, kot npr DangerousObject.Multi.Generic in Ransom.Win 32.Gen.ftl.

Bad Rabbit – nov izsiljevalski virus

Še vedno je težko povsem izslediti vse vire okužbe, a strokovnjaki zdaj delajo na tem. Verjetno grožnja doseže računalnik prek okuženih spletnih mest, na katerih je nastavljena preusmeritev, ali pod krinko lažnih posodobitev za priljubljene vtičnike, kot je Adobe Flash. Seznam takšnih mest se samo širi.

Ali je mogoče odstraniti virus in kako se zaščititi?

Takoj je treba omeniti, da so trenutno vsi protivirusni laboratoriji začeli analizirati tega trojanca. Če posebej iščete informacije o odstranjevanju virusov, potem jih ni. Takoj zavrzimo standardni nasvet - naredite varnostno kopijo sistema, povratno točko, izbrišite takšne in drugačne datoteke. Če nimaš shranjevanja, potem vse ostalo ne deluje, hekerji so zaradi specifikacij virusa premislili o takih trenutkih.

Mislim, da bodo dekriptorji za Bad Rabbit, ki so jih naredili amaterji, kmalu distribuirani - ali boste te programe uporabljali ali ne, je vaša lastna odločitev. Kot je pokazala prejšnja izsiljevalska programska oprema Petya, to malo pomaga.

Lahko pa preprečite grožnjo in jo odstranite, ko poskušate priti v svoj računalnik. Laboratorija Kaspersky in ESET sta se prva odzvala na poročila o virusni epidemiji in že blokirata poskuse prodora. Googlov brskalnik Chrome je začel tudi zaznavati okužene vire in opozarjati na njihovo nevarnost. Tukaj je tisto, kar morate storiti, da se najprej zaščitite pred BadRabbit:

1. Če za zaščito uporabljate Kaspersky, ESET, Dr.Web ali druge priljubljene analoge, morate posodobiti baze podatkov. Prav tako morate za Kaspersky omogočiti »Activity Monitor« (System Watcher) in v ESET-u uporabiti podpise s posodobitvijo 16295.

   

2. Če ne uporabljate protivirusnih programov, morate blokirati izvajanje datoteke C:\Windows\infpub.dat in C:\Windows\cscc.dat. To storite prek urejevalnika pravilnika skupine ali programa AppLocker za Windows.

Priporočljivo je onemogočiti izvajanje storitve - Windows Management Instrumentation (WMI). V prvih desetih se imenuje storitev "Orodja Upravljanje sistema Windows” . Z desnim gumbom vnesite lastnosti storitve in izberite "Vrsta zagona" način "Onemogočeno".



3. Ne pozabite narediti varnostne kopije sistema. Teoretično bi morala biti kopija vedno shranjena na povezanem mediju. Tukaj je kratko video navodilo, kako ga ustvariti.

Zaključek

Na koncu je vredno povedati najpomembnejše - ne bi smeli plačati odkupnine, ne glede na to, kaj ste šifrirali. Takšna dejanja samo spodbujajo goljufe k ustvarjanju novih virusnih napadov. Spremljajte forume protivirusnih podjetij, ki bodo, upam, kmalu preučila virus Bad Rabbit in našla učinkovito tableto. Sledite zgornjim korakom, da zaščitite svoj OS. Če imate kakršne koli težave pri njihovem izpolnjevanju, zapišite v komentarje.

Bad Rabbit je virus, ki spada med šifrirne izsiljevalske viruse. Pojavil se je pred kratkim in je namenjen predvsem računalnikom uporabnikov v Rusiji in Ukrajini ter delno v Nemčiji in Turčiji.

Načelo delovanja izsiljevalskih virusov je vedno enako: zlonamerni program, ko je v računalniku, šifrira sistemske datoteke in uporabniške podatke ter blokira dostop do računalnika z geslom. Vse, kar je prikazano na zaslonu, je okno z virusom, napadalčeve zahteve in številka računa, na katerega zahteva nakazilo denarja za odklepanje. Po množičnem širjenju kriptovalut je postalo popularno zahtevati odkupnino v bitcoinih, saj je transakcijam z njimi izjemno težko slediti od zunaj. Bad Rabbit počne enako. Izkorišča ranljivosti operacijskega sistema, zlasti v Adobeju Flash Player, in prodira pod krinko posodobitve zanj.

Po okužbi BadRabbit ustvari v mapi datoteka Windows infpub.dat, ki ustvari preostali programski datoteki: cscc.dat in dispci.exe, ki spremenita nastavitve Disk MBR uporabnika in ustvarite svoje naloge, podobne razporejevalniku opravil. Ta zlonamerni program ima svojo osebno spletno stran za plačilo odkupnine, uporablja šifrirno storitev DiskCryptor, šifrira z metodama RSA-2048 in AE ter nadzoruje vse naprave, povezane z ta računalnik, poskuša okužiti tudi njih.

Po oceni Symanteca je virus dobil status nizke grožnje, po mnenju poznavalcev pa so ga ustvarili isti razvijalci kot viruse, odkrite nekaj mesecev pred Bad Rabbit, NotPetya in Petya, saj ima podobne algoritme delovanja. Izsiljevalska programska oprema Bad Rabbit se je prvič pojavila oktobra 2017, njena prva žrtev pa so bili spletni časopis Fontanka, številni mediji in spletna stran tiskovne agencije Interfax. Napadano je bilo tudi podjetje Beeline, a je bila grožnja pravočasno odvrnjena.

Opomba: Na srečo so programi za odkrivanje tovrstnih groženj zdaj učinkovitejši kot prej in tveganje okužbe s tem virusom se je zmanjšalo.

Odstranjevanje virusa Bad Rabbit

Obnovitev zagonskega nalagalnika

Kot v večini primerov te vrste, lahko za odpravo grožnje poskusite obnoviti Zagonski nalagalnik sistema Windows. V primeru Windows 10 in Windows 8 morate za to povezati distribucijo namestitve sistema na USB ali DVD in po zagonu z njega pojdite na možnost »Popravite računalnik«. Po tem morate iti na »Odpravljanje težav« in izbrati » Ukazna vrstica».

Zdaj ostane le še vnos ukazov enega za drugim, s pritiskom na Enter vsakič po vnosu naslednjega ukaza:

1. bootrec /FixMbr
2. bootrec /FixBoot
3. bootrec /ScanOs
4. bootrec /RebuildBcd

Ko so operacije končane, zapustite in znova zaženite. Najpogosteje je to dovolj za rešitev težave.
Za Windows 7 so koraki enaki, le da se »Ukazni poziv« nahaja v »Možnosti«. obnovitev sistema"o distribuciji namestitve.

Odstranjevanje virusa v varnem načinu

Za uporabo te metode morate biti prijavljeni. varni način z omrežno podporo. Ima omrežno podporo in ne preprost varni način. V sistemu Windows 10 je to mogoče znova storiti prek namestitvene distribucije. Po zagonu iz njega morate v oknu z gumbom »Namesti« pritisniti kombinacijo tipk Shift+F10 in v polje vnesti:

bcdedit /set (privzeto) varno zagonsko omrežje

V sistemu Windows 7 lahko med vklopom računalnika preprosto večkrat pritisnete F8 in izberete ta način zagona s seznama v meniju, ki se prikaže.
Po vstopu v varni način je glavni cilj pregledati operacijski sistem glede groženj. Bolje je, da to storite s časovno preizkušenimi pripomočki, kot sta Reimage ali Malwarebytes Anti-Malware.

Odstranite grožnjo s pomočjo centra za obnovitev

Za uporabo ta metoda ponovno morate uporabiti »Ukazno vrstico«, kot je opisano v zgornjih navodilih, in po zagonu vnesti cd restore in potrditi s pritiskom na Enter. Po tem morate vnesti rstrui.exe. Odpre se okno programa, v katerem se lahko vrnete na prejšnjo obnovitveno točko, ki je bila pred okužbo.

Morda je znanilec tretjega vala šifrirnih virusov, meni Kaspersky Lab. Prva dva sta bila senzacionalna WannaCry in Petya (aka NotPetya). Strokovnjaki za kibernetsko varnost so za MIR 24 povedali o pojavu nove omrežne zlonamerne programske opreme in o tem, kako se zaščititi pred njenim močnim napadom.

Večina žrtev napada Bad Rabbit je v Rusiji. Bistveno manj jih je v Ukrajini, Turčiji in Nemčiji, je opozoril vodja protivirusnega raziskovalnega oddelka pri Kaspersky Labu. Vjačeslav Zakorževski. Verjetno so bile druge najbolj aktivne države tiste države, kjer uporabniki aktivno spremljajo ruske internetne vire.

Ko zlonamerna programska oprema okuži računalnik, šifrira datoteke v njem. Distribuira se s spletnim prometom iz vdrtih internetnih virov, med katerimi so bila predvsem spletna mesta zveznih ruskih medijev, pa tudi računalniki in strežniki kijevskega metroja, ukrajinskega ministrstva za infrastrukturo in mednarodnega letališča Odessa. Zabeležen je bil tudi neuspešen poskus napada na ruske banke iz top 20.

O dejstvu, da je Bad Rabbit napadel Fontanka, Interfax in številne druge publikacije, je včeraj poročalo podjetje Group-IB, ki je specializirano za varnost informacij. Analiza kode virusa je pokazala, da Bad Rabbit je povezan z izsiljevalsko programsko opremo Not Petya, ki junija letos napadel energetska, telekomunikacijska in finančna podjetja v Ukrajini.

Napad so pripravljali več dni in kljub obsegu okužbe je izsiljevalska programska oprema od žrtev napada zahtevala relativno majhne zneske - 0,05 bitcoina (to je približno 283 dolarjev ali 15.700 rubljev). Za odkup je na voljo 48 ur. Po preteku tega obdobja se znesek poveča.

Strokovnjaki Group-IB menijo, da najverjetneje hekerji nimajo namena služiti denarja. Njihov verjetni cilj je preveriti raven zaščite kritičnih infrastrukturnih omrežij podjetij, vladnih služb in zasebnih podjetij.

Preprosto je postati žrtev napada

Ko uporabnik obišče okuženo spletno mesto, zlonamerna koda posreduje podatke o njem na oddaljeni strežnik. Nato se pojavi pojavno okno, v katerem vas prosimo, da prenesete posodobitev za Flash Player, ki je lažna. Če uporabnik odobri operacijo »Namestitev«, bo datoteka prenesena v računalnik, ta pa bo v sistemu zagnala šifrirnik Win32/Filecoder.D. Nato bo dostop do dokumentov blokiran, na zaslonu pa se prikaže sporočilo o odkupnini.

Virus Bad Rabbit skenira omrežje za odprte omrežne vire, nato pa na okuženem računalniku zažene orodje za zbiranje poverilnic in to "vedenje" se razlikuje od njegovih predhodnikov.

Strokovnjaki mednarodnega razvijalca protivirusne programske opreme Eset NOD 32 so potrdili, da je Bad Rabbit nova modifikacija Virus Petya, katerega princip delovanja je bil enak - virus je šifriral podatke in zahteval odkupnino v bitcoinih (znesek je bil primerljiv z Bad Rabbit - 300 $). Nova zlonamerna programska oprema odpravlja napake pri šifriranju datotek. Koda, uporabljena v virusu, je zasnovana za šifriranje logičnih pogonov, zunanjih pogonov USB in slik CD/DVD ter zagonskih particij sistemskega diska.

Ko že govorimo o občinstvu, ki ga je napadel Bad Rabbit, vodja prodajne podpore pri ESET Rusija Vitalij Zemskikh izjavil, da se je 65 % napadov, ki so jih zaustavili protivirusni izdelki podjetja, zgodilo v Rusiji. Preostala geografija novega virusa je videti takole:

Ukrajina – 12,2 %

Bolgarija – 10,2 %

Turčija – 6,4 %

Japonska – 3,8 %

drugi – 2,4 %

"Izkoriščanja izsiljevalske programske opreme so znana programsko opremo odprtokodno imenovano DiskCryptor za šifriranje diskov žrtve. Zaslon zaklenjenega sporočila, ki ga vidi uporabnik, je skoraj enak zaklenjenima zaslonoma Petya in NotPetya. Vendar je to edina podobnost, ki smo jo do zdaj opazili med zlonamerno programsko opremo. Z vseh drugih vidikov je BadRabbit povsem nova in edinstvena vrsta izsiljevalske programske opreme,« pravi tehnični direktor podjetja Check Point Software Technologies. Nikita Durov.

Kako se zaščititi pred Bad Rabbitom?

Nosilci operacijski sistemi uporabniki, ki ne uporabljajo operacijskega sistema Windows, si lahko oddahnejo, saj zaradi novega virusa ransomware postanejo ranljivi samo računalniki s to »osjo«.

Za zaščito pred omrežno zlonamerno programsko opremo strokovnjaki priporočajo, da v računalniku ustvarite datoteko C:\windows\infpub.dat in zanjo nastavite pravice samo za branje - to je enostavno storiti v skrbniškem razdelku. Na ta način boste blokirali izvajanje datotek, vsi dokumenti, ki bodo prispeli od zunaj, pa tudi če bodo okuženi, ne bodo šifrirani. Da bi se izognili izgubi dragocenih podatkov v primeru okužbe z virusom, zdaj naredite varnostno kopijo. In seveda velja spomniti, da je plačilo odkupnine past, ki ne zagotavlja, da bo vaš računalnik odklenjen.

Spomnimo, da se je virus maja letos razširil v najmanj 150 držav po svetu. Podatke je šifriral in zahteval plačilo odkupnine, po različnih virih od 300 do 600 dolarjev. Prizadela je več kot 200 tisoč uporabnikov. Po eni različici so njeni ustvarjalci za osnovo vzeli zlonamerno programsko opremo ameriške NSA Eternal Blue.

Alla Smirnova je govorila s strokovnjaki