Ransomware-viruset, känt som Bad Rabbit, attackerade tiotusentals datorer i Ukraina, Turkiet och Tyskland. Men de flesta attackerna inträffade i Ryssland. Vilken typ av virus är detta och hur du skyddar din dator, berättar vi i avsnittet Frågor och svar.

Vem led av Bad Rabbit i Ryssland?

Bad Rabbit ransomware-viruset började spridas den 24 oktober. Bland offren för hans handlingar finns nyhetsbyrån Interfax och publikationen Fontanka.ru.

Även tunnelbanan i Kiev och flygplatsen i Odessa drabbades av hackares agerande. Sedan blev det känt om ett försök att hacka flera ryska bankers system från topp 20.

Av alla indikationer är detta en riktad attack mot företagsnätverk, eftersom metoder som liknar de som observerades i ExPetr-virusattacken används.

Det nya viruset ställer ett krav till alla: en lösensumma på 0,05 Bitcoin. När det gäller rubel är detta cirka 16 tusen rubel. Han rapporterar dock att tiden för att uppfylla detta krav är begränsad. Lite mer än 40 timmar ges för allt. Vidare kommer inlösenavgiften att öka.

Vad är detta virus och hur fungerar det?

Har du redan tagit reda på vem som ligger bakom spridningen?

Det har ännu inte gått att ta reda på vem som ligger bakom denna attack. Undersökningen ledde bara programmerarna till domännamnet.

Experter från antivirusföretag noterar likheten mellan det nya viruset och Petya-viruset.

Men till skillnad från tidigare virus i år bestämde sig hackarna denna gång för att ta den enkla vägen, rapporterar 1tv.ru.

"Tydligen förväntade sig brottslingarna att i de flesta företag skulle användare uppdatera sina datorer efter dessa två attacker, och bestämde sig för att prova ett ganska billigt botemedel - social ingenjörskonst, för att infektera användare relativt obemärkt till en början”, säger Vyacheslav Zakorzhevsky, chef för antivirusforskningsavdelningen vid Kaspersky Lab.

Hur skyddar du din dator från virus?

Se till att göra det säkerhetskopia ditt system. Om du använder Kaspersky, ESET, Dr.Web eller andra populära analoger för skydd, bör du omedelbart uppdatera databaserna. För Kaspersky måste du också aktivera "Activity Monitoring" (System Watcher), och i ESET måste du tillämpa signaturer med uppdatering 16295, upplyser talkdevice.

Om du inte har antivirusprogram, blockera exekvering av filerna C:\Windows\infpub.dat och C:\Windows\cscc.dat. Detta görs via editorn grupppolicyer eller AppLocker för Windows.

Stoppa tjänsten från att köras - Windows Management Instrumentation (WMI). Använd den högra knappen, ange tjänstens egenskaper och välj läget "Inaktiverat" i "Starttyp".

Ransomware-virus Bad Rabbit eller Diskcoder.D. attackerar företagsnätverk av stora och medelstora organisationer och blockerar alla nätverk.

Bad Rabbit eller "dålig kanin" kan knappast kallas en pionjär - den föregicks av krypteringsvirusen Petya och WannaCry.

Bad Rabbit - vilken typ av virus

Experter från antivirusföretaget ESET undersökte spridningen av det nya viruset och fann att Bad Rabbit trängde in i offrens datorer under sken av en uppdatering. Adobe Flash för webbläsaren.

Antivirusföretaget tror att Win32/Diskcoder.D-krypteringen, kallad Bad Rabbit, är modifierad version Win32/Diskcoder.C, mer känd som Petya/NotPetya, som slog in i IT-systemen hos organisationer i flera länder i juni. Kopplingen mellan Bad Rabbit och NotPetya indikeras av matchningar i koden.

Attacken använder programmet Mimikatz, som fångar upp inloggningar och lösenord på den infekterade maskinen. Även i koden finns redan registrerade inloggningar och lösenord för försök att få administrativ åtkomst.

Den nya skadliga programvaran fixar fel i filkryptering - koden som används i viruset är avsedd för kryptering logiska enheter, externa USB-enheter och CD/DVD-avbildningar, samt startbara systemdiskpartitioner. Så dekrypteringsexperter kommer att behöva spendera mycket tid för att avslöja hemligheten med Bad Rabbit-viruset, säger experter.

Det nya viruset, enligt experter, fungerar enligt ett standardschema för krypteringar - när det kommer in i systemet från ingenstans, kodar det filer, för vars kryptering hackare kräver en lösensumma i bitcoins.

Att låsa upp en dator kommer att kosta 0,05 bitcoin, vilket är cirka 283 dollar med nuvarande växelkurs. Om lösensumman betalas kommer bedragarna att skicka en speciell nyckelkod som gör att du kan återställa normal drift av systemet och inte förlora allt.

Om användaren inte överför pengar inom 48 timmar kommer lösensumman att öka.

Men det är värt att komma ihåg att att betala en lösensumma kan vara en fälla som inte garanterar att datorn kommer att låsas upp.

ESET noterar att det för närvarande inte finns någon anslutning mellan skadlig programvara och fjärrservern.

Viruset drabbade mest ryska användare och i mindre utsträckning företag i Tyskland, Turkiet och Ukraina. Spridningen skedde genom infekterade medier. Kända infekterade webbplatser har redan blockerats.

ESET anser att attackstatistiken i stort sett överensstämmer med den geografiska fördelningen av webbplatser som innehåller skadlig JavaScript.

Hur du skyddar dig själv

Specialister från Group-IB, som är engagerad i förebyggande och utredning av cyberbrottslighet, gav rekommendationer om hur man skyddar sig mot Bad Rabbit-viruset.

I synnerhet, för att skydda dig mot ett skadedjur online, måste du skapa filen C:\windows\infpub.dat på din dator och ställa in skrivskyddade rättigheter för den i administrationssektionen.

Denna åtgärd kommer att blockera filexekveringen och alla dokument som kommer utifrån kommer inte att krypteras även om de är infekterade. Det är nödvändigt att skapa en säkerhetskopia av alla värdefulla data så att du inte förlorar den i händelse av infektion.

Group-IB-specialister rekommenderar också att blockera IP-adresser och domännamn, varifrån spridningen skedde skadliga filer, ställ in en popup-blockerare för användare.

Det rekommenderas också att snabbt isolera datorer i ett intrångsdetekteringssystem. PC-användare bör också se till att säkerhetskopior av viktiga nätverksnoder är aktuella och intakta och att operativsystem och säkerhetssystem är uppdaterade.

"När det gäller lösenordspolicy: använd grupppolicyinställningar för att förbjuda lagring av lösenord i LSA Dump i klartext. Ändra alla lösenord till komplexa", tillade företaget.

Föregångare

WannaCry-viruset spreds i minst 150 länder i maj 2017. Han krypterade informationen och krävde att betala en lösensumma, enligt olika källor, från 300 till 600 dollar.

Över 200 tusen användare påverkades av det. Enligt en version tog dess skapare som grund skadlig programvara US NSA Eternal Blue.

Den globala attacken av Petya ransomware-viruset den 27 juni drabbade IT-systemen hos företag i flera länder runt om i världen, mestadels drabbade Ukraina.

Datorer av olja, energi, telekommunikation, läkemedelsföretag, såväl som statliga myndigheter attackerades. Den ukrainska cyberpolisen uppgav att ransomware-attacken inträffade genom programmet M.E.doc.

Materialet har utarbetats utifrån öppna källor

Hej alla! Häromdagen började en storskalig hackerattack i Ryssland och Ukraina, Turkiet, Tyskland och Bulgarien med det nya krypteringsviruset Bad Rabbit, även känt som Diskcoder.D. Encryptor på det här ögonblicket attackerar företagsnätverk av stora och medelstora organisationer och blockerar alla nätverk. Idag kommer vi att berätta vad denna trojan är och hur du kan skydda dig från den.

Vilken typ av virus?

Bad Rabbit fungerar enligt ett standardschema för ransomware: när det väl kommer in i systemet, kodar det filer, för dekryptering av vilka hackare kräver 0,05 bitcoin, vilket till växelkursen är $283 (eller 15 700 rubel). Detta rapporteras separat fönster, där du faktiskt behöver ange den köpta nyckeln. Hotet är en typ av trojan Trojan.Win32.Generic, men den innehåller också andra komponenter, som t.ex DangerousObject.Multi.Generic Och Ransom.Win 32.Gen.ftl.

Bad Rabbit – ett nytt ransomware-virus

Det är fortfarande svårt att helt spåra alla smittkällor, men experter arbetar nu med detta. Antagligen når hotet datorn via infekterade webbplatser där omdirigering är konfigurerad, eller under sken av falska uppdateringar för populära plugins som Adobe Flash. Listan över sådana webbplatser växer bara.

Är det möjligt att ta bort ett virus och hur man skyddar sig?

Det är värt att nämna direkt att för tillfället har alla antiviruslaboratorier börjat analysera denna trojan. Om du specifikt letar efter information om borttagning av virus, så finns det ingen som sådan. Låt oss omedelbart kassera standardråden - gör en säkerhetskopia av systemet, en returpunkt, ta bort sådana och sådana filer. Om du inte har sparat så fungerar inte allt annat; hackare, på grund av virusets specifikationer, har tänkt igenom sådana ögonblick.

Jag tror att dekrypteringar för Bad Rabbit gjorda av amatörer snart kommer att distribueras - om du använder dessa program eller inte är ditt eget val. Som den tidigare Petya ransomware visade, hjälper detta lite.

Men du kan förhindra hotet och ta bort det när du försöker komma in i din dator. Kaspersky och ESETs laboratorier var de första att svara på rapporter om en viral epidemi och blockerar redan penetrationsförsök. Google webbläsare Chrome har också börjat upptäcka infekterade resurser och varna för deras fara. Här är vad du behöver göra för att skydda dig från BadRabbit först:

1. Om du använder Kaspersky, ESET, Dr.Web eller andra populära analoger för skydd måste du uppdatera databaserna. För Kaspersky måste du också aktivera "Activity Monitor" (System Watcher) och i ESET tillämpa signaturer med uppdatering 16295.

   

2. Om du inte använder antivirus måste du blockera filkörning C:\Windows\infpub.dat Och C:\Windows\cscc.dat. Detta görs genom grupprincipredigeraren eller AppLocker-programmet för Windows.

Det är tillrådligt att inaktivera utförandet av tjänsten - Windows Management Instrumentation (WMI). I topp tio kallas tjänsten "Verktyg Windows-hantering” . Använd den högra knappen, ange tjänstens egenskaper och välj "Starttyp" läge "Inaktiverad".



3. Se till att säkerhetskopiera ditt system. I teorin bör en kopia alltid lagras på det anslutna mediet. Här är en kort videoinstruktion om hur du skapar den.

Slutsats

Avslutningsvis är det värt att säga det viktigaste - du ska inte betala lösensumman, oavsett vad du har krypterat. Sådana åtgärder uppmuntrar bara bedragare att skapa nya virusattacker. Övervaka antivirusföretagens forum, som jag hoppas snart kommer att studera Bad Rabbit-viruset och hitta ett effektivt piller. Se till att följa stegen ovan för att skydda ditt operativsystem. Om du har några svårigheter att slutföra dem, skriv i kommentarerna.

Bad Rabbit är ett virus som tillhör de krypterande ransomware-virusen. Det dök upp ganska nyligen och riktar sig främst till datorer för användare i Ryssland och Ukraina, såväl som delvis i Tyskland och Turkiet.

Funktionsprincipen för ransomware-virus är alltid densamma: en gång på en dator krypterar det skadliga programmet systemfiler och användardata och blockerar åtkomst till datorn med ett lösenord. Allt som visas på skärmen är virusfönstret, angriparens krav och kontonumret som han kräver att överföra pengar till för att låsa upp det. Efter den massiva spridningen av kryptovalutor blev det populärt att kräva lösen i bitcoins, eftersom transaktioner med dem är extremt svåra att spåra utifrån. Bad Rabbit gör samma sak. Det utnyttjar sårbarheter i operativsystemet, särskilt i Adobe Flash spelare, och tränger in under sken av en uppdatering för den.

Efter infektion skapar BadRabbit i mappen Windows-fil infpub.dat, som skapar de återstående programfilerna: cscc.dat och dispci.exe, som gör sina ändringar i inställningarna Disk MBR användare och skapa deras uppgifter som liknar Task Scheduler. Detta skadliga program har sin egen personliga webbplats för att betala lösen, använder krypteringstjänsten DiskCryptor, krypterar med RSA-2048 och AE-metoder och övervakar även alla enheter som är anslutna till den här datorn, försöker infektera dem också.

Enligt Symantecs bedömning fick viruset status som lågt hot och enligt experter skapades det av samma utvecklare som virusen upptäckte ett par månader innan Bad Rabbit, NotPetya och Petya, eftersom det har liknande driftalgoritmer. Bad Rabbit ransomware dök upp första gången i oktober 2017 och dess första offer var onlinetidningen Fontanka, ett antal medier och webbplatsen för nyhetsbyrån Interfax. Även företaget Beeline utsattes för en attack, men hotet avvärjdes i tid.

Obs: Lyckligtvis är detektionsprogram för dessa typer av hot nu mer effektiva än tidigare, och risken att smittas av detta virus har minskat.

Ta bort Bad Rabbit Virus

Återställning av bootloader

Som i de flesta fall av denna typ, för att eliminera hotet kan du försöka återställa Windows starthanterare. I fallet med Windows 10 och Windows 8, för att göra detta, måste du ansluta still USB eller DVD, och efter att ha startat från den, gå till alternativet "Fixa din dator". Efter det måste du gå till "Felsökning" och välja " Kommandorad».

Nu återstår bara att ange kommandona ett efter ett, tryck på Enter varje gång efter att du har skrivit in nästa kommando:

1. bootrec /FixMbr
2. bootrec /FixBoot
3. bootrec /ScanOs
4. bootrec /RebuildBcd

När operationerna har slutförts, avsluta och starta om. Oftast är detta tillräckligt för att lösa problemet.
För Windows 7 är stegen desamma, bara där finns "Kommandotolk" i "Alternativ" systemåterställning"på installationsdistributionen.

Ta bort ett virus med felsäkert läge

För att använda denna metod måste du vara inloggad. säkert läge med nätverksstöd. Det är med nätverksstöd och inte enkelt felsäkert läge. I Windows 10 kan detta göras igen genom installationsdistributionen. Efter att ha startat från det, i fönstret med "Installera" -knappen, måste du trycka på tangentkombinationen Shift+F10 och ange i fältet:

bcdedit /set (standard) safeboot-nätverk

I Windows 7 kan du helt enkelt trycka på F8 flera gånger medan du slår på datorn och välja detta startläge från listan i menyn som visas.
Efter att ha gått in i felsäkert läge är huvudmålet att skanna operativsystemet efter hot. Det är bättre att göra detta genom tidstestade verktyg som Reimage eller Malwarebytes Anti-Malware.

Eliminera hotet med hjälp av återställningscenter

För användning den här metoden du måste använda "Kommandoraden" igen, som i instruktionerna ovan, och efter att ha startat den, ange cd restore och bekräfta genom att trycka på Enter. Efter detta måste du ange rstrui.exe. Ett programfönster öppnas där du kan återgå till den tidigare återställningspunkten som föregick infektionen.

Det kan vara ett förebud om den tredje vågen av krypteringsvirus, tror Kaspersky Lab. De två första var sensationella WannaCry och Petya (aka NotPetya). Cybersäkerhetsexperter berättade för MIR 24 om uppkomsten av ett nytt skadligt nätverk och hur man skyddar sig mot dess kraftfulla attack.

De flesta offren för attacken med Bad Rabbit befinner sig i Ryssland. Det finns betydligt färre av dem i Ukraina, Turkiet och Tyskland, konstaterade chefen för antivirusforskningsavdelningen vid Kaspersky Lab. Vyacheslav Zakorzhevsky. Förmodligen var de näst mest aktiva länderna de länder där användare aktivt övervakar ryska internetresurser.

När skadlig programvara infekterar en dator krypterar den filer på den. Den distribueras med hjälp av webbtrafik från hackade internetresurser, bland vilka huvudsakligen var webbplatser för federala ryska medier, samt datorer och servrar i Kievs tunnelbana, det ukrainska ministeriet för infrastruktur och Odessas internationella flygplats. Ett misslyckat försök att attackera ryska banker från topp 20 registrerades också.

Att Fontanka, Interfax och ett antal andra publikationer attackerades av Bad Rabbit rapporterades i går av Group-IB, ett företag som specialiserat sig på informationssäkerhet. Analys av viruskoden visade det Bad Rabbit förknippas med Not Petya ransomware, som i juni i år attackerade energi-, telekommunikations- och finansföretag i Ukraina.

Attacken var förberedd under flera dagar och trots infektionens omfattning krävde ransomwaren relativt små belopp från offren för attacken - 0,05 bitcoin (det är cirka 283 dollar eller 15 700 rubel). 48 timmar avsätts för inlösen. Efter att denna period löper ut ökar beloppet.

Group-IB-specialister tror att hackarna med största sannolikhet inte har för avsikt att tjäna pengar. Deras troliga mål är att kontrollera skyddsnivån för kritiska infrastrukturnätverk för företag, statliga myndigheter och privata företag.

Det är lätt att bli offer för en attack

När en användare besöker en infekterad webbplats överför den skadliga koden information om den till en fjärrserver. Därefter visas ett popup-fönster som ber dig att ladda ner en uppdatering för Flash Player, som är falsk. Om användaren godkänner "Installera"-operationen kommer en fil att laddas ner till datorn, som i sin tur kommer att starta Win32/Filecoder.D-krypteringen på systemet. Därefter kommer åtkomst till dokumenten att blockeras, och ett lösenmeddelande visas på skärmen.

Bad Rabbit-viruset söker igenom nätverket efter öppna nätverksresurser, varefter det lanserar ett verktyg på den infekterade maskinen för att samla in referenser och detta "beteende" skiljer sig från sina föregångare.

Specialister från den internationella utvecklaren av antivirusprogramvaran Eset NOD 32 bekräftade att Bad Rabbit är en ny modifiering Petya-virus, vars operativa princip var densamma - viruset krypterade information och krävde en lösensumma i bitcoins (beloppet var jämförbart med Bad Rabbit - $300). Den nya skadliga programvaran fixar fel i filkryptering. Koden som används i viruset är utformad för att kryptera logiska enheter, externa USB-enheter och CD/DVD-avbildningar, samt startbara systemdiskpartitioner.

På tal om publiken som attackerades av Bad Rabbit, chef för försäljningssupport på ESET Ryssland Vitaly Zemskikh uppgav att 65 % av attackerna som stoppades av företagets antivirusprodukter inträffade i Ryssland. Resten av geografin för det nya viruset ser ut så här:

Ukraina – 12,2 %

Bulgarien – 10,2 %

Turkiet – 6,4 %

Japan – 3,8 %

andra – 2,4 %

"Kända utnyttjande av ransomware programvaraöppen källkod kallad DiskCryptor för att kryptera offrets diskar. Låsmeddelandeskärmen som användaren ser är nästan identisk med låsskärmarna Petya och NotPetya. Detta är dock den enda likheten vi har sett hittills mellan de två skadliga programmen. I alla andra aspekter är BadRabbit en helt ny och unik typ av ransomware”, säger den tekniska chefen för Check Point Software Technologies. Nikita Durov.

Hur skyddar du dig från Bad Rabbit?

Hållare operativsystem icke-Windows-användare kan andas ut, eftersom det nya ransomware-viruset gör endast datorer med denna "axel" sårbara.

För att skydda mot nätverksskadlig programvara rekommenderar experter att du skapar filen C:\windows\infpub.dat på din dator och ställer in skrivskyddade rättigheter för den - detta är enkelt att göra i administrationssektionen. På så sätt kommer du att blockera filkörning och alla dokument som kommer utifrån kommer inte att krypteras även om de är infekterade. För att undvika att förlora värdefull data i händelse av en virusinfektion, gör en säkerhetskopia nu. Och naturligtvis är det värt att komma ihåg att att betala en lösensumma är en fälla som inte garanterar att din dator kommer att låsas upp.

Låt oss påminna dig om att viruset spreds i minst 150 länder runt om i världen i maj i år. Han krypterade informationen och krävde att betala en lösensumma, enligt olika källor, från 300 till 600 dollar. Över 200 tusen användare påverkades av det. Enligt en version tog dess skapare den amerikanska NSA Eternal Blue malware som grund.

Alla Smirnova pratade med experter