Как защититься от вируса Bad Rabbit. Вирус Bad Rabbit: описание работы и методы очистки Что делает вирус bad rabbit

Вирус-шифровальщик, известный как Bad Rabbit, атаковал десятки тысяч компьютеров на Украине, в Турции и Германии. Но больше всего атак пришлось на Россию. Что это за вирус и как защитить свой компьютер, рассказываем в нашей рубрике "Вопрос-ответ".

Кто пострадал в России от Bad Rabbit?

Вирус-шифровальщик Bad Rabbit начал распространяться 24 октября. В числе пострадавших от его действия значатся информагентство "Интерфакс", издание "Фонтанка.ру".

Также от действий хакеров пострадали метрополитен Киева и аэропорт Одессы. После стало известно о попытке взлома системы нескольких российских банков из топ-20.

По всем признакам это целенаправленная атака на корпоративные сети, поскольку используются методы, похожие на те, что наблюдались при атаке вируса ExPetr.

Новый вирус всем предъявляет одно требование: выкуп 0,05 биткоина. В пересчете на рубли это около 16 тысяч рублей. При этом он сообщает, что время на исполнение этого требования ограничено. На все про все дается чуть больше 40 часов. Далее плата за выкуп повысится.

Что это за вирус и как он работает?

Удалось уже выяснить, кто стоит за его распространением?

Выяснить, кто стоит за этой атакой, пока не удалось. Расследование только привело программистов к доменному имени.

Специалисты антивирусных компаний отмечают сходство нового вируса с вирусом Petya.

Но, в отличие от прошлых вирусов этого года, в этот раз хакеры решили пойти простым путем, сообщает 1tv.ru .

"По-видимому, преступники ожидали, что в большинстве компаний пользователи обновят свои компьютеры после двух этих атак, и решили испробовать достаточно дешевое средство - социальную инженерию, чтобы первое время относительно незаметно заражать пользователей", – сообщил руководитель отдела антивирусных исследований "Лаборатории Касперского" Вячеслав Закоржевский.

Как защитить свой компьютер от вируса?

Обязательно сделайте резервную копию вашей системы. Если вы используете для защиты Касперский, ESET, Dr.Web либо другие популярные аналоги, следует оперативно обновить базы данных. Также для Касперского необходимо включить "Мониторинг активности" (System Watcher), а в ESET применить сигнатуры с обновлением 16295, информирует talkdevice .

Если у вас нет антивирусников, заблокируйте исполнение файлов C:\Windows\infpub.dat и C:\Windows\cscc.dat. Делается это через редактор групповых политик либо программу AppLocker для Windows.

Запретите выполнение службы - Windows Management Instrumentation (WMI). Через правую кнопку войдите в свойства службы и выберите в "Тип запуска" режим "Отключена".

24 октября российские СМИ, а также транспортные компании и государственные учреждения Украины подверглись атаке шифровальщика Bad Rabbit («Плохой кролик»). По данным открытых источников, в числе пострадавших Киевский метрополитен, аэропорт Одессы, Министерство инфраструктуры Украины, редакции «Интерфакса» и «Фонтанки».

По данным вирусной лаборатории ESET, в атаке на Киевский метрополитен использовалось вредоносное ПО Diskcoder.D - новая модификация шифратора, известного как Petya.

Специалисты по информационной безопасности из Group-IB установили, что атака готовилась несколько дней. В ESET предупреждают, что шифровальщик проникает в компьютер через поддельное обновление плагина Adobe Flash. После этого он заражает ПК и шифрует файлы на нем. Затем на мониторе появляется сообщение о том, что компьютер заблокирован, а для расшифровки файлов необходимо зайти на сайт Bad Rabbit - caforssztxqzf2nm.onion через браузер Tor.

Эпидемии шифровальщиков WannaCry и NotPetya показали, что необходимо вовремя обновлять установленные программы и систему, а также делать резервные копии, чтобы не остаться без важной информации после атаки вирусов.

Однако, если заражение произошло эксперты из Group-IB не рекомендуем платить выкуп, так как:

• таким образом вы помогаете преступникам;
• у нас нет доказательств, что данные тех, кто заплатил, были восстановлены.

Как защитить компьютер от заражения Bad Rabbit?

Чтобы не стать жертвой новой эпидемии Bad Rabbit («Плохой кролик»), специалисты «Лаборатории Касперского» рекомендуют сделать следующее:

Для пользователей антивирусных решений «Лаборатории Касперского»:

• Проверьте, включены ли в вашем защитном решении компоненты Kaspersky Security Network и «Мониторинг активности» (он же System Watcher). Если нет - обязательно включите.

Для тех, кто не пользуется антивирусными решениями «Лаборатории Касперского».

Вчера, 24 октября 2017 года, крупные российские СМИ, а также ряд украинских госучреждений неизвестных злоумышленников. В числе пострадавших оказались «Интерфакс», «Фонтанка» и как минимум еще одно неназванное интернет-издание. Вслед за СМИ о проблемах также сообщили Международный аэропорт «Одесса», Киевский метрополитен и украинское Министерство инфраструктуры. Согласно заявлению аналитиков Group-IB, преступники также пытались атаковать банковские инфраструктуры, но эти попытки оказались неудачными. Специалисты ESET в свою очередь утверждают, что атаки затронули пользователей из Болгарии, Турции и Японии.

Как оказалось, перебои в работе компаний и госучреждений были вызваны не массовыми DDoS-атаками, но шифровальщиком, который носит имя Bad Rabbit (некоторые эксперты предпочитают писать BadRabbit без пробела).

Вчера о малвари и механизмах ее работы было известно немного: сообщалось, что шифровальщик требует выкуп в размере 0,05 биткоина, а также эксперты Group-IB рассказывали, что атака готовилась несколько дней. Так, на сайте злоумышленников было обнаружено два JS-скрипта, и, судя по информации с сервера, один из них обновлялся 19 октября 2017 года.

Теперь, хотя не прошло и суток с момента начала атак, анализ шифровальщика уже осуществили специалисты едва ли не всех ведущих ИБ-компаний мира. Итак, что представляет собой Bad Rabbit, и следует ли ожидать новой «вымогательской эпидемии», подобной WannaCry или NotPetya?

Каким образом Bad Rabbit сумел вызвать перебои в работе крупных СМИ, если дело было в фальшивых обновлениях для Flash? По данным ESET , Emsisoft и Fox-IT , после заражения вредонос задействовал утилиту Mimikatz для извлечения паролей из LSASS, а также имел список наиболее распространенных логинов и паролей. Все это вредонос задействовал, чтобы посредством SMB и WebDAV распространиться на другие серверы и рабочие станции, находящиеся в одной сети с зараженным устройством. При этом эксперты перечисленных выше компаний и сотрудники Cisco Talos полагают, что в данном случае обошлось без украденного у спецслужб инструмента , использующего бреши в SMB. Напомню, что вирусы WannaCry и NotPetya распространялись при помощи именно этого эксплоита.

Впрочем, специалистам все же удалось обнаружить некоторое сходство между Bad Rabbit и Petya (NotPetya). Так, вымогатель не просто зашифровывает пользовательские файлы, используя опенсорсный DiskCryptor , но модифицирует MBR (Master Boot Record), после чего перезагружает компьютер и выводит на экран сообщение с требованием выкупа.

Хотя сообщение с требованиями злоумышленников практически идентично посланию от операторов NotPetya, мнения экспертов относительно связи между Bad Rabbit и NotPetya немного расходятся. Так, аналитики компании Intezer подсчитали, что исходный код вредоносов

Еще в конце 80-х вирус AIDS («PC Cyborg»), написанный Джозефом Поппом, скрывал каталоги и шифровал файлы, требуя выплатить около $200 за «продление лицензии». Сначала программы-вымогатели были нацелены только на обычных людей, использующих компьютеры под управлением Windows, но сейчас сама угроза стала серьезной проблемой для бизнеса: программ появляется все больше, они становятся дешевле и доступнее. Вымогательство с использованием вредоносных программ - основная киберугроза в 2\3 странах Евросоюза. Один из самых распространенных вирусов-вымогателей программа CryptoLocker - начиная с сентября 2013 года заразил более четверти миллиона компьютеров в странах ЕС.

В 2016 году количество атак шифровальщиков резко увеличилось – по оценкам аналитиков, более, чем в сто раз по сравнению с предыдущим годом. Это – нарастающий тренд, причем под ударом, как мы увидели, оказались совершенно различные компании и организации. Угроза актуальна и для некоммерческих организаций. Так как для каждой крупной атаки вредоносные программы модернизируются и тестируются злоумышленниками на «прохождение» через антивирусную защиту, антивирусы, как правило, против них бессильны.

Служба безопасности Украины 12 октября предупреждала о вероятности новых масштабных кибератак на государственные структуры и частные компании, подобных июньской эпидемии вируса-шифровальщика NotPetya . По информации украинской спецслужбы, "атака может быть осуществлена с использованием обновлений, в том числе общедоступного прикладного программного обеспечения". Напомним, что в случае с атакой NotPetya, которую исследователи связывали с группой BlackEnergy, первыми жертвами стали компании, использующие программное обеспечение украинского разработчика системы документооборота «M.E.Doc».

Тогда, в первые 2 часа были атакованы энергетические, телекоммуникационные и финансовые компании: Запорожьеоблэнерго, Днепроэнерго, Днепровская электроэнергетическая система, Mondelez International, Ощадбанк, Mars, "Новая Почта", Nivea, TESA, Киевский метрополитен, компьютеры Кабинета министров и правительства Украины, магазины "Ашан", украинские операторы ("Киевстар", LifeCell, "УкрТелеКом"), Приватбанк, аэропорт Борисполь.

Чуть раньше, в мае 2017 года, вирус-шифровальщик WannaCry атаковал 200 000 компьютеров в 150 странах мира. Вирус прошелся по сетям университетов в Китае, заводов Renault во Франции и Nissan в Японии, телекоммуникационной компании Telefonica в Испании и железнодорожного оператора Deutsche Bahn в Германии. Из-за заблокированных компьютеров в клиниках Великобритании пришлось отложить операции, а региональные подразделения МВД России - не смогли выдавать водительские права. Исследователи заявили, что за атакой стоит северокорейские хакеры из Lazarus.

В 2017 году вирусы-шифровальщики вышли на новый уровень: использование киберпреступниками инструментов из арсеналов американских спецслужб и новых механизмом распространения привело к международным эпидемиям, самыми масштабные из них оказались - WannaCry и NotPetya. Несмотря на масштабы заражения, сами вымогатели собрали сравнительно ничтожные суммы - скорее всего это были не попытки заработать, а проверить уровень защиты сетей критической инфраструктуры предприятий, госведомств и частных компаний.

Всем привет! Буквально на днях в России и Украине, Турции, Германии и Болгарии началась масштабная хакерская атака новым вирусом-шифровальщиком Bad Rabbit, он же Diskcoder.D. Шифровальщик на данный момент атакует корпоративные сети больших и средних организаций, блокируя все сети. Сегодня мы расскажем что из себя представляет этот троян и как можно защититься от него.

Что за вирус?

Bad Rabbit (Плохой Кролик) действует по стандартной для шифровальщиков схеме: попадая в систему, он кодирует файлы, за расшифровку которых хакеры требуют 0,05 биткоина, что по курсу составляет 283$ (или 15 700 руб). Об этом сообщается отдельным окном, куда собственно и требуется вводить купленный ключ. Угроза относится к типу троянов Trojan.Win32.Generic , однако в нем присутствуют и другие компоненты, такие как DangerousObject.Multi.Generic и Ransom .Win 32.Gen . ftl .

Bad Rabbit – новый вирус шифровальщик

Полностью отследить все источники заражения пока сложно, но специалисты этим сейчас занимаются. Предположительно угроза попадает на ПК через зараженные сайты, на которых настроено перенаправление, либо под видом фейковых обновлений для популярных плагинов типа Adobe Flash. Список таких сайтов пока только расширяется.

Можно ли удалить вирус и как защититься?

Сразу стоит сказать, в данный момент все антивирусные лаборатории принялись за анализ этого трояна. Если конкретно искать информацию по удалению вируса, то её, как таковой, нет. Отбросим сразу стандартные советы – сделайте бекап системы, точку возврата, удалите такие-то файлы. Если у вас нет сохранений, то все остальное не работает, хакеры такие моменты, в силу спецификации вируса, продумали.

Я думаю, в течении скорого времени будут распространятся сделанные аматорами дешифраторы для Bad Rabbit – вестись на эти программки или нет – ваше личное дело. Как показал прошлый шифровальщик Petya, это мало кому помогает.

А вот предупредить угрозу и удалить её при попытке залезть в ПК можно. Первыми на сообщения о вирусной эпидемии отреагировали лаборатории Kaspersky и ESET, которые уже сейчас блокируют попытки проникновения. Браузер Google Chrome также начал выявлять зараженные ресурсы и предупреждать об их опасности. Вот что нужно сделать для защиты от BadRabbit в первую очередь:

1. Если вы используете для защиты Касперский, ESET, Dr.Web, либо другие популярные аналоги, то вам необходимо обязательно выполнить обновление баз данных. Также, для Касперского необходимо включить “Мониторинг активности” (System Watcher), а в ESET примените сигнатуры с обновлением 16295.

   

2. Если вы не пользуетесь антивирусами, тогда необходимо заблокировать исполнение файлов C:\Windows\infpub.dat и C:\Windows\cscc.dat . Делается это через редактор групповых политик, либо программку AppLocker для Windows.

Желательно запретить выполнение службы – Windows Management Instrumentation (WMI) . В десятке служба называется “Инструментарий управления Windows” . Через правую кнопку войдите в свойства службы и выберите в “Тип запуска” режим “Отключена” .



3. Обязательно сделайте резервную копию вашей системы. По идее, копия должна всегда храниться на подключаемом носителе. Вот небольшая видео-инструкция по её созданию.

Заключение

В завершении стоит сказать самое главное – не стоит платить выкуп, что бы у вас ни было зашифровано. Такие действия только подстрекают мошенников создавать новые вирусные атаки. Отслеживайте форумы антивирусных компаний, которые, я надеюсь, в скором времени изучат вирус Bad Rabbit и найдут эффективную таблетку. Обязательно выполните вышеописанные пункты по защите вашей ОС. В случае сложностей в их выполнении, отпишитесь в комментариях.