Поганий кролик | Bad Rabbit

Аватар користувача
Юрій
Новачок
Повідомлень: 41
З нами з: 08 листопада 2016, 17:46
Звідки: Рівне
ПІБ: Ілючек Юрій Флавіанович
Підрозділ: Відділ ІТ

Поганий кролик | Bad Rabbit

Повідомлення Юрій » 25 жовтня 2017, 10:02

Зображення

24 жовтня розпочався нова масштабна кібер-атака з використанням вірусу-шифрувальника Bad Rabbit. Зловредів вразив комп'ютерні мережі Київського метрополітену, Міністерства інфраструктури, Міжнародного аеропорту "Одеса". Кілька жертв виявилися і в Росії - в результаті атаки постраждали редакції федеральних ЗМІ, таких як «Інтерфакс» і «Фонтанка».
Kill Switch: необхідно створити файл C: \ windows \ infpub.dat і виставити йому права «тільки для читання». У цьому випадку навіть при зараженні файли не будуть зашифровані.


Найімовірніше вірус поширюється через зламані веб-сайти, пропонуючи користувачам встановити оновлення флеш-плеєра:

Попередній аналіз показує, що зловредів поширюється через ряд заражених сайтів російських ЗМІ. Всі ознаки вказують на те, що це цілеспрямована атака на корпоративні мережі.

Після проникнення на комп'ютер жертви шкідлива програма шифрує призначені для користувача файли. Для відновлення доступу до закодованим даними пропонується заплатити викуп у розмірі 0,05 біткойнiв, що за сучасним курсом приблизно еквівалентно 283 доларам США. При цьому зловмисники попереджають, що в разі зволікання ціна за розшифровку виросте.


Подробиці про схему розповсюдження Bad Rabbit поки відсутні. Не ясно і те, чи можна розшифрувати файли. Але вже відомо, що більшість жертв атаки знаходяться в Росії. Крім того, схожі напади зафіксовані в Україні, Туреччині та Німеччині, але в значно меншій кількості.

Зловмисники просять своїх жертв перейти по посиланню на TOR-сайт, на якому запускається автоматичний лічильник. Після оплати, по заявою зловмисників, жертва повинна отримати персональний ключ до розшифровки.

Поки невідомі способи поширення та закріплення в системі, а також немає достовірної інформації про наявність ключів розшифровки.

Співробітники Лабораторії Касперського рекомендують наступні дії:
Заблокуйте виконання файлу c: \ windows \ infpub.dat, C: \ Windows \ cscc.dat.
Забороніть (якщо це можливо) використання сервісу WMI.