Вирус BadRabbit атаковал Украину и Россию. Главное
Эксперты нашли родственную связь нового вируса с Petya и рассказали, как от него защититься.
Вирус BadRabbit, который распространился 24 октября по Украине и России, а также затронул некоторые другие страны, оказался родственником нашумевшего шифровальщика Petya.
Специалисты по кибербезопасности узнали, что создатели BadRabbit планировали заражение на протяжении нескольких дней, а жертвами должны были стать крупные банки.
Несмотря на то, что эпидемия пошла на спад, эксперты по информационной безопасности распространяют советы, как защититься от атаки BadRabbit.
Волна BadRabbit
24 октября после обеда на хакерскую атаку последовательно пожаловались метрополитен Киева, одесский аэропорт, новостное агентство Интерфакс и интернет-издания Liga.net и Фонтанка.ру.
Как сообщили в международной компании Group-IB, расследующей киберпреступления, вирус также пытался атаковать крупнейшие банки России. Однако их система безопасности справилась с BadRabbit.
Основная часть заражений BadRabbit пришлась на российские компьютеры, чуть менее пострадала Украина. На атаки также жаловались в Германии, Турции и Болгарии, сообщили в Лабаратории Касперского.
На Россию пришлось 65 процентов атак, на Украину - 12,2 процентов, Болгарию - 10,2 процента, Турцию - 6,4 процента, Японию - 3,8 процента, на другие страны - 2,4 процента.
Как видно на фотографиях заблокированных экранов компьютеров хакеры рекомендуют "не терять время", пытаясь восстановить файлы. Злоумышленники обещают восстановить доступ за 0,05 биткоина (около 280 долларов).
При этом, согласно информации на экране, немногим более чем через 40 часов стоимость расшифровки за каждый ПК возрастает.
В СБУ сообщили о блокировке распространения угрозы в ночь с 24 на 25 октября. Они отметили, что вирус распространялся с использованием фишинговых электронных писем с обратным адресом, который ассоциируется со службой технической поддержки Microsoft.
Примечательно, что 12 октября СБУ предупреждала о вероятности новых масштабных кибератак на государственные структуры и частные компании.
Кролик сослался на Игру престолов
По данным компании Proofpoint, BadRabbit распространяется через фальшивое обновление Adobe Flash Player.
Код вируса содержит ссылки на Игру престолов: в нем упоминаются имена драконов Дрогона, Рейгаля и Визериона, заметил эксперт в области компьютерной безопасности Кевин Бьюмон.
Вирус шифрует широкий спектр файлов, в том числе .doc, .docx, .jpg, отмечает McAfee. Согласно информации на сайте Adobe, 16 октября она выпустила обновление системы безопасности Adobe Flash Player.
"После захода на зараженный ресурс пользователю предлагалось обновить flash-плеер. В случае нажатия кнопки данные на его компьютере зашифровывались. Вирус также крал пароли с его устройства и с их помощью зашифровывал другие компьютеры, находящиеся с ним в одной сети", - рассказал РБК заместитель руководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин.
В Group-IB узнали, что IP домена, раздававшего вирусы, связан с пятью ресурсами, на владельцев которых зарегистрировано множество других сайтов, в том числе фарма-партнерок (сайты, продающие поддельные медикаменты через спам).
Загрузка вредоносного ПО шла с ресурса 1dnscontrol.com - IP 5.61.37.209, сообщается на сайте Group-IB. Его доменное имя было зарегистрировано 22 марта 2016 года и продлевается до сих пор.
"С ним связано множество других вредоносных доменов, первая активность которых относится еще к 2011 году", - отмечают эксперты.
Родственник Petya
По данным Group-IB, кибератака была тщательно спланирована и готовилась на протяжении нескольких дней.
В частности, один из java-скриптов, участвующих в заражении, последний раз обновлялся еще 19 октября, то есть за пять дней до эпидемии.
Эксперты по кибербезопасности отмечают сходство BadRabbit с вирусом-шифровальщиком Petya, также известном, как Petya A, ExPetr и Not.Petya.
Разработчики антивирусного программного обеспечения ESET рассказали Газете.Ru, что в атаке использовалось вредоносное программное обеспечение Diskcoder.D, которое является модификацией вируса-шифратора Not.Petya - именно он использовался при кибератаке на украинские компании летом этого года.
Кроме того, в вирусе предусмотрен жестко закодированный список учетных данных.
В Group-IB тоже подтвердили родственную связь BadRabbit и Petya. Специалисты сообщают о модифицированной версии вируса, в которой были исправлены ошибки алгоритма шифрования.
Лаборатория Касперского также усматривает в новом вирусе некое сходство с Petya, но связь с ним пока не подтверждает.
Третья эпидемия за год
BadRabbit стал уже третьей вирусной эпидемией за 2017 году. В мае вирус-шифровальщик WannaCry атаковал 200 тысяч компьютеров в 150 странах мира. Тогда исследователи пришли к выводу, что за атакой стоят северокорейские хакеры из Lazarus.
Затем 27 июня вирус Petya (NotPetya и ExPetr) проник в 12,5 тысячи компьютеров в 65 странах. Исследователи связывали его с группой BlackEnergy.
Petya проникал на компьютеры с операционной системой Windows, где не были установлены обновления, шифровал содержимое жестких дисков и требовал выкуп за расшифровку в размере 300 долларов в биткоинах.
Но главное свойство Petya вскрылось спустя несколько дней. Атаковавший компании всего мира вирус оказался вовсе не вымогателем. Он безвозвратно шифровал файлы, и возможность вернуть к ним доступ в коде вируса просто не предусмотрена.
Распространялся Petya через украинскую компанию M.E.Doc, разрабатывающую системы отчетности и документооборота. Для заражения корпоративной сети достаточно одного уязвимого компьютера, на котором не установлены обновления безопасности.
Как защититься от шифровальщиков:
- как домашним, так и корпоративным пользователям необходимо обновлять системы безопасности (включая антивирус) и операционную систему вместе с появлением их новых версий;
- создавать резервные копии данных. Они позволят восстановить файлы, а зараженный жесткий диск можно будет просто отформатировать;
- не открывать подозрительные письма, приходящие на почтовый ящик;
- не скачивать программное обеспечение из непроверенных или подозрительных источников;
- не вставлять в компьютер неизвестные флешки или другие носители;
- если компьютер уже начал шифроваться, то нужно его сразу выключить.
Если атаковал BadRabbit:
- оперативно изолируйте компьютеры, указанные в тикетах, если такие будут, а также убедитесь в актуальности и целостности резервных копий ключевых сетевых узлов;
- обновите операционные системы и системы безопасности;
- заблокируйте ip-адреса и доменные имена с которых происходило распространение вредоносных файлов;
- что делать с паролями:
1. Настройками групповой политики запретите хранение паролей в LSA Dump в открытом виде
2. Смените все пароли на сложные для предотвращения брута по словарю;
- поставить блокировку всплывающих окон;
- применить современные средства обнаружения вторжений и песочницу для анализа файлов.
- запретить выполнение следующих задач: viserion_, rhaegal, drogon.