Учора, 24 жовтня 2017 року, великі російські ЗМІ, а також низка українських держустанов невідомих зловмисників. Серед постраждалих опинилися «Інтерфакс», «Фонтанка» та як мінімум ще одне неназване інтернет-видання. Слідом за ЗМІ про проблеми також повідомили Міжнародний аеропорт «Одеса», Київський метрополітен та українське Міністерство інфраструктури. За заявою аналітиків Group-IB, злочинці також намагалися атакувати банківські інфраструктури, але ці спроби виявилися невдалими. Фахівці ESET у свою чергу стверджують, що атаки торкнулися користувачів із Болгарії, Туреччини та Японії.
Як виявилося, перебої в роботі компаній та держустанов були викликані не масовими DDoS-атаками, але шифрувальником, який носить ім'я Bad Rabbit (деякі експерти вважають за краще писати BadRabbit без пропуску).
Вчора про малварі та механізми її роботи було відомо небагато: повідомлялося, що шифрувальник вимагає викуп у розмірі 0,05 біткоїну, а також експерти Group-IB розповідали, що атака готувалася кілька днів. Так, на сайті зловмисників було виявлено два JS-скрипти, і, судячи з інформації з сервера, один із них оновлювався 19 жовтня 2017 року.
Тепер, хоча не минуло й доби з початку атак, аналіз шифрувальника вже здійснили фахівці чи не всіх провідних ІБ-компаній світу. Отже, що являє собою Bad Rabbit, і чи слід очікувати на нову «вимагательську епідемію», подібну до WannaCry або NotPetya?
Як Bad Rabbit зумів викликати перебої в роботі великих ЗМІ, якщо справа була у фальшивих оновленнях для Flash? За даними ESET , Emsisoftі Fox-ITПісля зараження шкідливість задіяла утиліту Mimikatz для вилучення паролів з LSASS, а також мала список найбільш поширених логінів і паролів. Все це шкідливість задіяв, щоб за допомогою SMB та WebDAV поширитися на інші сервери та робочі станції, що знаходяться в одній мережі із зараженим пристроєм. При цьому експерти перерахованих вище компаній і співробітники Cisco Talos вважають, що в даному випадку обійшлося без вкраденого спецслужб інструменту, що використовує проломи в SMB. Нагадаю, що віруси WannaCry та NotPetya поширювалися за допомогою саме цього експлоїту.
Втім, фахівцям все ж таки вдалося виявити деяку подібність між Bad Rabbit і Petya (NotPetya). Так, здирник не просто зашифровує файли користувача, використовуючи опенсорсний DiskCryptor , але модифікує MBR (Master Boot Record), після чого перезавантажує комп'ютер і виводить на екран повідомлення з вимогою викупу.
Хоча повідомлення з вимогами зловмисників практично ідентичне посланню від операторів NotPetya, думки експертів щодо зв'язку між Bad Rabbit та NotPetya трохи розходяться. Так, аналітики компанії Intezer підрахували, що вихідний код шкідників
Вірус-шифрувальник, відомий як Bad Rabbit, атакував десятки тисяч комп'ютерів в Україні, Туреччині та Німеччині. Але найбільше атак припало на Росію. Що це за вірус та як захистити свій комп'ютер, розповідаємо у нашій рубриці "Питання-відповідь".
Хто постраждав у Росії від Bad Rabbit?
Вірус-шифрувальник Bad Rabbit почав поширюватися 24 жовтня. Серед постраждалих від його дії - інформагентство "Інтерфакс", видання "Фонтанка.ру".
Також від дій хакерів постраждали метрополітен Києва та аеропорт Одеси. Після стало відомо про спробу злому системи кількох російських банків із топ-20.
За всіма ознаками це цілеспрямована атака на корпоративні мережі, оскільки використовуються методи, подібні до тих, що спостерігалися при атаці вірусу ExPetr.
Новий вірус всім висуває одну вимогу: викуп 0,05 біткоїну. У перерахунку на карбованці це близько 16 тисяч рублів. При цьому він повідомляє, що час виконання цієї вимоги обмежений. На все про все дається трохи більше 40 годин. Далі плата за викуп збільшиться.
Що це за вірус та як він працює?
Чи вдалося вже з'ясувати, хто стоїть за його поширенням?
З'ясувати, хто стоїть за цією атакою, поки що не вдалося. Розслідування лише призвело програмістів до доменного імені.
Фахівці антивірусних компаній відзначають схожість нового вірусу із вірусом Petya.
Але на відміну від минулих вірусів цього року, цього разу хакери вирішили піти простим шляхом, повідомляє 1tv.ru.
"Мабуть, злочинці очікували, що в більшості компаній користувачі оновлять свої комп'ютери після двох цих атак, і вирішили випробувати досить дешевий засіб - соціальну інженерію, щоб спочатку відносно непомітно заражати користувачів", - повідомив керівник відділу антивірусних досліджень "Лабораторії Касперського" В'ячеслав Закоржевський.
Як захистити комп'ютер від вірусу?
Обов'язково створіть резервну копію вашої системи. Якщо ви використовуєте для захисту Касперський, ESET, Dr.Web або інші популярні аналоги, необхідно оновити бази даних. Також для Касперського необхідно включити "Моніторинг активності" (System Watcher), а в ESET застосувати сигнатури з оновленням 16295, інформує talkdevice.
Якщо у вас немає антивірусників, заблокуйте виконання файлів C:\Windows\infpub.dat та C:\Windows\cscc.dat. Робиться це через редактор групових політик або програму AppLocker для Windows.
Забороніть виконання служби - Windows Management Instrumentation (WMI). Через праву кнопку увійдіть у властивості служби та виберіть "Тип запуску" режим "Вимкнена".
Вірус-шифрувальник Bad Rabbit, атаці якого напередодні зазнали російські ЗМІ, намагався атакувати і російські банки з топ-20, розповіли Forbes у Group-IB, яка займається розслідуванням та запобіганням кіберзлочинам. Уточнити подробиці атак на кредитні організації представник компанії відмовився, пояснивши, що Group-IB не розкриває інформацію про клієнтів, які використовують її систему виявлення вторгнень.
За даними фахівців з кібербезпеки, спроби зараження вірусом інфраструктур російських банків відбувалися 24 жовтня з 13:00 до 15:00. У Group-IB вважають, що кібератаки продемонстрували якісніший захист банків порівняно з компаніями небанківського сектора. Раніше в компанії повідомили, що новий вірус-шифрувальник, ймовірно, пов'язаний з червневою епідемією шифрувальника NotPetya (на це вказують збіги в коді), атакував російські ЗМІ. Йшлося про інформаційні системи агентства «Інтерфакс», а також сервери петербурзького порталу новин «Фонтанка». Крім того, вірус вдарив у системи Київського метрополітену, міністерства інфраструктури України, Міжнародного аеропорту «Одеса». NotPetya влітку вразив енергетичні, телекомунікаційні та фінансові компанії переважно на Україні. За розшифровку файлів, заражених вірусом BadRabbit, зловмисники вимагають 0,05 біткойна, що за поточним курсом приблизно еквівалентно $283 або 15 700 рублів.
У «Лабораторії Касперського» уточнили, що цього разу більшість жертв вибрали хакери в Росії. Проте схожі атаки в компанії зафіксували в Україні, Туреччині та Німеччині, але «у значно меншій кількості». «Усі ознаки вказують на те, що це цілеспрямована атака на корпоративні мережі. Використовуються методи, схожі на ті, що ми спостерігали в атаці ExPetr, проте зв'язку з ExPetr ми не можемо підтвердити», - повідомив представник компанії. Співрозмовник Forbes додав, що всі продукти "Лабораторії Касперського" "детектують ці шкідливі файли як UDS: DangerousObject.Multi.Generic".
Як захиститись?
З метою захисту від цієї атаки в «Лабораторії Касперського» рекомендували використовувати антивірус із включеним KSN та модулем «Моніторинг системи». «Якщо не встановлено захисне рішення «Лабораторії Касперського», ми рекомендуємо заборонити виконання файлів із назвами c:\windows\infpub.dat та C:\Windows\cscc.dat за допомогою інструментів системного адміністрування», - порадив керівник відділу антивірусних досліджень «Лабораторії Касперського» В'ячеслав Закоржевський.
У Group-IB зазначають, щоб вірус не зміг зашифрувати файли, «необхідно створити файл C:\windows\infpub.dat і поставити йому права лише для читання». Після цього навіть у разі зараження файли не будуть зашифровані, йдеться у повідомленні компанії. У той же час необхідно оперативно ізолювати комп'ютери, які були помічені в пересиланні подібних шкідливих файлів, щоб уникнути масштабного зараження інших комп'ютерів, підключених до мережі. Після цього користувачам необхідно переконатися в актуальності та цілісності резервних копій ключових мережних вузлів.
Коли первинні дії виконані, користувачеві радять оновити операційні системи та системи безпеки, паралельно заблокувавши IP-адреси та доменні імена, з яких відбувалося поширення шкідливих файлів. Group-IB рекомендує змінити всі паролі на складніші та поставити блокування спливаючих вікон, а також заборонити зберігання паролів у LSA Dump у відкритому вигляді.
Хто стоїть за атакою BadRabbit
У 2017 році вже було зафіксовано дві найбільші епідемії шифрувальників - WannaCry (атакував 200 000 комп'ютерів у 150 країнах світу) та ExPetr. Останній – Petya та одночасно NotPetya, відзначають у «Лабораторії Касперського». Тепер, на думку компанії, "починається третя". Ім'я нового вірусу-шифрувальника Bad Rabbit "написано на сторінці в даркнеті, на яку його творці відправляють за з'ясуванням деталей", уточнюють у компанії. У Group-IB вважають, що Bad Rabbit є модифікованою версією NotPetya з виправленими помилками алгоритму шифрування. Зокрема, код Bad Rabbit включає блоки, що повністю повторюють NotPetya.
В ESET Russia погоджуються, що зловмисне ПЗ "Win32/Diskcoder.D", що використовувалося в атаці, - модифікована версія "Win32/Diskcoder.C", більш відомого як Petya/NotPetya. Як уточнив Віталій Земських, керівник підтримки продажів ESET Russia, у розмові з Forbes, статистика атак по країнах «значною мірою відповідає географічному розподілу сайтів, що містять шкідливий JavaScript». Таким чином, велика частина заражень припала на Росію (65%), слідом йдуть Україна (12,2%), Болгарія (10,2%), Туреччина (6,4%) та Японія (3,8%).
Зараження вірусом Bad Rabbit відбувалося після заходу на зламані сайти. На скомпрометовані ресурси HTML-код хакери завантажили JavaScript-інжект, який показував відвідувачам підроблене вікно, що пропонує встановити оновлення Adobe Flash плеєра. Якщо користувач погоджувався на оновлення, на комп'ютер встановлювався шкідливий файл з ім'ям "install_flash_player.exe". «Заразив робочу станцію в організації, шифратор може поширюватися всередині корпоративної мережі через протокол SMB. На відміну від свого попередника Petya/NotPetya, Bad Rabbit не використовує експлойт EthernalBlue - натомість він сканує мережу на предмет відкритих мережевих ресурсів», - каже Земських. На зараженій машині слід запустити інструмент Mimikatz для збору облікових даних. Крім того, передбачено жорстко закодований список логінів та паролів.
Інформації про те, хто організував атаки хакерів поки немає. У той же час, на думку Group-IB, масові атаки WannaCry і NotPetya, схожі за характером, могли бути пов'язані з хакерськими угрупованнями, що фінансуються державами. Фахівці роблять такий висновок на підставі того, що фінансовий зиск від подібних атак у порівнянні зі складністю їх проведення «мізерний». «Швидше за все, це були не спроби заробити, а перевірити рівень захисту мереж критичної інфраструктури підприємств, держвідомств та приватних компаній», - підсумовують експерти. Представник Group-IB підтвердив Forbes, що останній вірус – Bad Rabbit – може виявитися перевіркою захисту інфраструктур держвідомств та бізнесу. Так, це не виключено. Враховуючи, що атаки велися точково – по об'єктах критичної інфраструктури – аеропорт, метрополітен, держустанови», – пояснює співрозмовник Forbes.
Відповідаючи на питання про винних в останній атаці, в ESET Russia наголошують, що використовуючи тільки інструменти антивірусної компанії, провести якісне розслідування та встановити причетних неможливо, це завдання спеціалістів іншого профілю. «Ми як антивірусна компанія виявляємо методи та цілі атак, шкідливі інструменти атакуючих, уразливості та експлойти. Пошук винних, їх мотивів, державної власності та інше – не наша сфера відповідальності», - заявив представник компанії, пообіцявши зробити висновки щодо призначення Bad Rabbit за підсумками розслідування. "На жаль, у найближчій перспективі ми побачимо чимало подібних інцидентів - вектор і сценарій цієї атаки показали високу ефективність", - роблять прогнози в ESET Russia. Співрозмовник Forbes нагадує, що на 2017 рік компанія прогнозувала зростання кількості цільових атак на корпоративний сектор, насамперед, на фінансові організації (більш ніж на 50%, за попередніми оцінками). «В даний час ці прогнози здійснюються, ми спостерігаємо зростання кількості атак у поєднанні зі збільшенням збитків постраждалих компаній», - визнає він.
Вірус-шифрувальник Bad Rabbit або Diskcoder.D. атакує корпоративні мережі великих і сучасних організацій, блокуючи всі мережі.
Bad Rabbit або "поганий кролик" важко назвати першопрохідником - йому передували віруси-шифрувальники Petya та WannaCry.
Bad Rabbit - що за вірус
Схему розповсюдження нового вірусу досліджували експерти антивірусної компанії ESET та з'ясували, що Bad Rabbit проникав на комп'ютери жертв під виглядом оновлення Adobe Flash для браузера.
В антивірусній компанії вважають, що шифратор Win32/Diskcoder.D, який отримав назву Bad Rabbit – модифікована версія Win32/Diskcoder.C, більш відомого як Petya/NotPetya, який вразив IT-системи організацій у кількох країнах у червні. На зв'язок Bad Rabbit з NotPetya вказують збіги коду.
В атаці використовується програма Mimikatz, яка перехоплює на зараженій машині логіни та паролі. Також у коді є вже прописані логіни та паролі для спроб отримання адміністративного доступу.
У новій шкідливій програмі виправлені помилки в шифруванні файлів - код, використаний у вірусі, призначений для шифрування логічних дисків, зовнішніх USB-накопичувачів та образів CD/DVD, а також систем системних розділів диска. Так, що експертам з дешифрування доведеться витратити багато часу, щоб розкрити секрет вірусу Bad Rabbit, стверджують фахівці.
Новий вірус, як стверджують фахівці, діє за стандартною для шифрувальників cхеме - попадаючи в систему невідомо звідки, він кодує файли, за розшифровку яких вибирають.
Розблокування одного комп'ютера обійдеться в 0,05 біткоїну, що становить близько 283 доларів за поточним курсом. У разі виплати викупу шахраї надішлють спеціальний код-ключ, який дозволить відновити нормальну роботу системи і не втратити все.
Якщо користувач не переведе кошти протягом 48 годин, розмір викупу зросте.
Але варто пам'ятати, що виплата викупу - може бути пасткою, яка не гарантує розблокування комп'ютера.
В ESET зазначають, що зв'язок шкідливої програми з віддаленим сервером відсутня.
Вірус найбільше вразив російських користувачів, меншою мірою компанії в Німеччині, Туреччині та в Україні. Розповсюдження відбувалося через заражені ЗМІ. Відомі заражені сайти вже заблоковані.
У ESET вважають, що статистика атак значною мірою відповідає географічному розподілу сайтів, що містять шкідливий JavaScript.
Як захиститись
Фахівці компанії Group-IB, яка займається запобіганням та розслідуванню кіберзлочинностей, дали рекомендації, як захиститися від вірусу Bad Rabbit.
Зокрема, для захисту від мережевого шкідника потрібно створити на своєму комп'ютері файл C:\windows\infpub.dat, при цьому в розділі адміністрування встановити для нього права лише для читання.
Цією дією виконання файлу буде заблоковано, і всі документи, що надходять ззовні, не будуть зашифровані навіть у тому випадку, якщо виявляться зараженими. Потрібно створити резервну копію всіх цінних даних, щоб у разі зараження не втратити їх.
Фахівці Group-IB також радять заблокувати ip-адреси та доменні імена, з яких відбувалося поширення шкідливих файлів, поставити користувачам блокування спливаючих вікон.
Рекомендується також оперативно ізолювати комп'ютери у системі виявлення вторгнень. Користувачам ПК слід також перевірити актуальність та цілісність резервних копій ключових мережних вузлів та оновити операційні системи та системи безпеки.
"У частині парольної політики: налаштуваннями групової політики забороніть зберігання паролів у LSA Dump у відкритому вигляді. Змініть усі паролі на складні", - додали в компанії.
Попередники
Вірус WannaCry у травні 2017 року поширився не менш ніж у 150 країнах світу. Він шифрував інформацію та вимагав заплатити викуп, за різними даними, від 300 до 600 доларів.
Від нього постраждали понад 200 тисяч користувачів. За однією з версій його творці взяли за основу шкідливу програму АНБ США Eternal Blue.
Глобальна атака вірусу-здирника Petya 27 червня вразила IT-системи компаній у кількох країнах світу, більшою мірою торкнувшись України.
На атаку зазнали комп'ютери нафтових, енергетичних, телекомунікаційних, фармацевтичних компаній, а також держорганів. Кіберполіція України заявила, що атака вірусу-здирника відбулася за допомогою програми "M.E.doc".
Матеріал підготовлений на основі відкритих джерел
Всім привіт! Буквально днями в Росії та Україні, Туреччині, Німеччині та Болгарії почалася масштабна атака хакера новим вірусом-шифрувальником Bad Rabbit, він же Diskcoder.D. Шифрувальник на даний момент атакує корпоративні мережі великих та середніх організацій, блокуючи всі мережі. Сьогодні ми розповімо що з себе є цей троян і як можна захиститися від нього.
Що це за вірус?
Bad Rabbit (Поганий Кролик) діє за стандартною для шифрувальників схемою: потрапляючи в систему, він кодує файли, за розшифровку яких хакери вимагають 0,05 біткоїну, що за курсом становить 283 $ (або 15 700 руб). Про це повідомляється окремим вікном, куди і потрібно вводити куплений ключ. Загроза відноситься до типу троянів Trojan.Win32.Generic, проте в ньому присутні інші компоненти, такі як DangerousObject.Multi.Genericі Ransom .Win 32.Gen .ftl.
Bad Rabbit – новий вірус шифрувальник
Повністю відстежити всі джерела зараження поки що складно, але фахівці цим зараз займаються. Імовірно, загроза потрапляє на ПК через заражені сайти, на яких налаштовано перенапрямок, або під виглядом фейкових оновлень для популярних плагінів типу Adobe Flash. Список таких сайтів поки що розширюється.
Чи можна видалити вірус та як захиститися?
Відразу варто сказати, зараз всі антивірусні лабораторії взялися за аналіз цього трояна. Якщо безпосередньо шукати інформацію щодо видалення вірусу, то її, як такої, немає. Відкинемо відразу стандартні поради – зробіть бекап системи, точку повернення, видаліть такі файли. Якщо у вас немає збережень, то все інше не працює, хакери такі моменти через специфікацію вірусу продумали.
Я думаю, протягом швидкого часу будуть поширюватися зроблені аматорами дешифратори для Bad Rabbit - вестися на ці програми або ні - ваша особиста справа. Як показав минулий шифрувальник Petya, це мало кому допомагає.
А ось попередити загрозу та видалити її при спробі залізти у ПК можна. Першими на повідомлення про вірусну епідемію відреагували лабораторії Kaspersky та ESET, які вже зараз блокують спроби проникнення. Браузер Google Chrome також почав виявляти заражені ресурси та попереджати про їхню небезпеку. Ось що потрібно зробити для захисту від BadRabbit насамперед:
- Якщо ви використовуєте для захисту Касперський, ESET, Dr.Web, або інші популярні аналоги, необхідно обов'язково виконати оновлення баз даних. Також, для Касперського необхідно включити "Моніторинг активності" (System Watcher), а ESET застосуйте сигнатури з оновленням 16295.
- Якщо ви не користуєтесь антивірусами, тоді необхідно заблокувати виконання файлів C:\Windows\infpub.datі C:\Windows\cscc.dat. Робиться це через редактор групових політик, або програму AppLocker для Windows.
- Обов'язково створіть резервну копію вашої системи. За ідеєю, копія повинна завжди зберігатися на носії, що підключається. Ось невелика відео-інструкція щодо її створення.
Бажано заборонити виконання служби – Windows Management Instrumentation (WMI). У десятці служба називається “Інструментарій керування Windows”. Через праву кнопку увійдіть у властивості служби та виберіть "Тип запуску"режим "Відключено".
Висновок
На завершення варто сказати найголовніше – не варто платити викуп, хоч би що у вас було зашифровано. Такі дії лише підбурюють шахраїв створювати нові вірусні атаки. Слідкуйте за форумами антивірусних компаній, які, я сподіваюся, незабаром вивчать вірус Bad Rabbit і знайдуть ефективну таблетку. Обов'язково виконайте вищезазначені пункти захисту вашої ОС. У разі складнощів у їхньому виконанні, відпишіться у коментарях.