Вирус-шифровальщик Bad Rabbit: новая угроза вашему ПК. BadRabbit прыгнул Вирус кролик на компьютере что делать

Третья масштабная кибератака за год. На этот раз вирус с новым названием Bad Rabbit и старыми повадками — шифрование данных и вымогание денег за разблокировку. И в зоне поражения по прежнему Россия, Украина и некоторые другие страны СНГ.

Плохой Кролик действует по привычной схеме: присылает фишинговое письмо со вложенным вирусом или ссылкой. В частности, злоумышленники могут представляться техподдержкой Microsoft и попросить срочно открыть вложенный файл или пройти по ссылке. Есть и другой путь распространения — поддельное окно обновления Adobe Flash Player. В обоих случаях Bad Rabbit действует также, как и нашумевший не так давно , он шифрует данные жертвы и требует выкуп в размере 0,05 биткойна, что примерно $280 по курсу на 25 октября 2017 года. Жертвами новой эпидемии стали «Интерфакс», питерское издание «Фонтанка», киевский Метрополитен, одесский аэропорт и Министерство культуры Украины. Есть данные, что новый вирус пытался атаковать и несколько известных российских банков, но эта затея провалилась. Эксперты связывают Bad Rabbit с предыдущими крупными атаками, зафиксированными в этом году. Доказательством тому служит схожее ПО шифрования Diskcoder.D, а это тот самый шифровальщик Petya, только слегка видоизмененный.

Как защититься от Bad Rabbit?

Специалисты рекомендуют владельцам Windows компьютеров создать файл «infpub.dat» и поместить его в папку Windows на диске «C». В итоге путь должен выглядеть следующим образом: C:\windows\infpub.dat. Сделать это можно при помощи обычного блокнота, но с правами Администратора. Для этого находим ссылку на программу «Блокнот», кликаем правой кнопкой мышки и выбираем «Запуск от имени Администратора».

Дальше нужно просто сохранить этот файл по адресу C:\windows\, то есть в папку Windows на диске «C». Название файла: infpub.dat, при этом «dat» это расширение файла. Не забудьте заменить стандартное расширение блокнота «txt» на «dat». После того, как вы сохраните файл, откройте папку Windows, найдите созданный файл infpub.dat, нажмите на него правой кнопкой мыши и выберите пункт «Свойства», где в самом низу нужно поставить галочку «Только чтение». Таким образом даже если вы поймаете вирус Плохого Кролика, он не сможет зашифровать ваши данные.

Превентивные меры

Не забывайте, что оградить себя от любого вируса можно просто соблюдая определенные правила. Прозвучит банально, но никогда не открывайте письма и уже тем более их вложения, если адрес кажется вам подозрительным. Фишинговые письма, то есть маскирующиеся под другие сервисы, наиболее частый способ заражения. Внимательно следите за тем, что вы открываете. Если в письме вложенный файл называется «Важный документ.docx_______.exe» то открывать этот файл точно не следует. Кроме этого нужно иметь резервные копии важных файлов. Например семейный архив с фотографиями или рабочие документы можно продублировать на внешний диск или на облачное хранилище. Не забывайте, как важно использовать лицензионную версию Windows и регулярно устанавливать обновления. Патчи безопасности выпускаются Microsoft регулярно и те, кто их устанавливает не имеют проблем с подобными вирусами.

Еще в конце 80-х вирус AIDS («PC Cyborg»), написанный Джозефом Поппом, скрывал каталоги и шифровал файлы, требуя выплатить около $200 за «продление лицензии». Сначала программы-вымогатели были нацелены только на обычных людей, использующих компьютеры под управлением Windows, но сейчас сама угроза стала серьезной проблемой для бизнеса: программ появляется все больше, они становятся дешевле и доступнее. Вымогательство с использованием вредоносных программ - основная киберугроза в 2\3 странах Евросоюза. Один из самых распространенных вирусов-вымогателей программа CryptoLocker - начиная с сентября 2013 года заразил более четверти миллиона компьютеров в странах ЕС.

В 2016 году количество атак шифровальщиков резко увеличилось – по оценкам аналитиков, более, чем в сто раз по сравнению с предыдущим годом. Это – нарастающий тренд, причем под ударом, как мы увидели, оказались совершенно различные компании и организации. Угроза актуальна и для некоммерческих организаций. Так как для каждой крупной атаки вредоносные программы модернизируются и тестируются злоумышленниками на «прохождение» через антивирусную защиту, антивирусы, как правило, против них бессильны.

Служба безопасности Украины 12 октября предупреждала о вероятности новых масштабных кибератак на государственные структуры и частные компании, подобных июньской эпидемии вируса-шифровальщика NotPetya . По информации украинской спецслужбы, "атака может быть осуществлена с использованием обновлений, в том числе общедоступного прикладного программного обеспечения". Напомним, что в случае с атакой NotPetya, которую исследователи связывали с группой BlackEnergy, первыми жертвами стали компании, использующие программное обеспечение украинского разработчика системы документооборота «M.E.Doc».

Тогда, в первые 2 часа были атакованы энергетические, телекоммуникационные и финансовые компании: Запорожьеоблэнерго, Днепроэнерго, Днепровская электроэнергетическая система, Mondelez International, Ощадбанк, Mars, "Новая Почта", Nivea, TESA, Киевский метрополитен, компьютеры Кабинета министров и правительства Украины, магазины "Ашан", украинские операторы ("Киевстар", LifeCell, "УкрТелеКом"), Приватбанк, аэропорт Борисполь.

Чуть раньше, в мае 2017 года, вирус-шифровальщик WannaCry атаковал 200 000 компьютеров в 150 странах мира. Вирус прошелся по сетям университетов в Китае, заводов Renault во Франции и Nissan в Японии, телекоммуникационной компании Telefonica в Испании и железнодорожного оператора Deutsche Bahn в Германии. Из-за заблокированных компьютеров в клиниках Великобритании пришлось отложить операции, а региональные подразделения МВД России - не смогли выдавать водительские права. Исследователи заявили, что за атакой стоит северокорейские хакеры из Lazarus.

В 2017 году вирусы-шифровальщики вышли на новый уровень: использование киберпреступниками инструментов из арсеналов американских спецслужб и новых механизмом распространения привело к международным эпидемиям, самыми масштабные из них оказались - WannaCry и NotPetya. Несмотря на масштабы заражения, сами вымогатели собрали сравнительно ничтожные суммы - скорее всего это были не попытки заработать, а проверить уровень защиты сетей критической инфраструктуры предприятий, госведомств и частных компаний.

Приветствую Вас, дорогие посетители и гости данного блога! Сегодня в мире появился очередной вирус-шифровальщик по имени: «Bad Rabbit » — «Злобный кролик «. Это уже третий нашумевший шифровальщик за 2017 год. Предыдущие были и (он же NotPetya).

Bad Rabbit — Кто уже пострадал и много ли требует денег?

Пока что предположительно от этого шифровальщика пострадали несколько российских медиа - среди них Интерфакс и Фонтанка. Также о хакерской атаке - возможно, связанной с тем же Bad Rabbit, - сообщает аэропорт Одессы.

За расшифровку файлов злоумышленники требуют 0,05 биткойна, что по современному курсу примерно эквивалентно 283 долларам или 15 700 рублям.

Результаты исследования «Лаборатории Касперского» говорят о том, что в атаке не используются эксплойты. Bad Rabbit распространяется через зараженные веб-сайты: пользователи скачивают фальшивый установщик Adobe Flash, вручную запускают его и тем самым заражают свои компьютеры.

Как сообщает «Лаборатория Касперского» — эксперты расследуют эту атаку и ищут способы борьбы с ним, а так же ищут возможность дешифровки файлов, пострадавших от шифровальщика.

Большая часть пострадавших от атаки находятся в России. Так же известно, что похожие атаки происходят в Украине, Турции и Германии, но в гораздо меньшем количестве. Шифровальщик Bad Rabbit распространяется через ряд заражённых сайтов российских СМИ.

«Лаборатория Каперского» считает, что все признаки указывают на то, что это целенаправленная атака на корпоративные сети. Используются методы, похожие на те, что мы наблюдали в атаке ExPetr, однако связь с ExPetr мы подтвердить не можем.

Уже известно, что продукты «Лаборатории Касперского» детектируют один из компонентов зловреда с помощью облачного сервиса Kaspersky Security Network как UDS:DangerousObject.Multi.Generic, а также с помощью System Watcher как PDM:Trojan.Win32.Generic.

Как защитить себя от вируса Bad Rabbit?

Чтобы не стать жертвой новой эпидемии «Плохого кролика», «Лаборатория Касперского » рекомендуем сделать следующее:

Если у вас установлен Антивирус Касперского, то:

• Проверьте, включены ли в вашем защитном решении компоненты Kaspersky Security Network и «Мониторинг активности» (он же System Watcher). Если нет - обязательно включите.

Для тех, у кого нет данного продукта:

• Заблокируйте исполнение файла c:\windows\infpub.dat, C:\Windows\cscc.dat. Это можно сделать через .
• Запретите (если это возможно) использование сервиса WMI.

Еще очень важный совет от меня:

Всегда делайте backup (бекап — резервная копия ) важных Вам файлов. На съемном носителе, в облачных сервисах! Это сбережет ваши нервы, деньги и время!

Желаю вам не подхватит эту заразу к себе на ПК. Чистого и безопасного Вам интернета!

Вчера, 24 октября 2017 года, крупные российские СМИ, а также ряд украинских госучреждений неизвестных злоумышленников. В числе пострадавших оказались «Интерфакс», «Фонтанка» и как минимум еще одно неназванное интернет-издание. Вслед за СМИ о проблемах также сообщили Международный аэропорт «Одесса», Киевский метрополитен и украинское Министерство инфраструктуры. Согласно заявлению аналитиков Group-IB, преступники также пытались атаковать банковские инфраструктуры, но эти попытки оказались неудачными. Специалисты ESET в свою очередь утверждают, что атаки затронули пользователей из Болгарии, Турции и Японии.

Как оказалось, перебои в работе компаний и госучреждений были вызваны не массовыми DDoS-атаками, но шифровальщиком, который носит имя Bad Rabbit (некоторые эксперты предпочитают писать BadRabbit без пробела).

Вчера о малвари и механизмах ее работы было известно немного: сообщалось, что шифровальщик требует выкуп в размере 0,05 биткоина, а также эксперты Group-IB рассказывали, что атака готовилась несколько дней. Так, на сайте злоумышленников было обнаружено два JS-скрипта, и, судя по информации с сервера, один из них обновлялся 19 октября 2017 года.

Теперь, хотя не прошло и суток с момента начала атак, анализ шифровальщика уже осуществили специалисты едва ли не всех ведущих ИБ-компаний мира. Итак, что представляет собой Bad Rabbit, и следует ли ожидать новой «вымогательской эпидемии», подобной WannaCry или NotPetya?

Каким образом Bad Rabbit сумел вызвать перебои в работе крупных СМИ, если дело было в фальшивых обновлениях для Flash? По данным ESET , Emsisoft и Fox-IT , после заражения вредонос задействовал утилиту Mimikatz для извлечения паролей из LSASS, а также имел список наиболее распространенных логинов и паролей. Все это вредонос задействовал, чтобы посредством SMB и WebDAV распространиться на другие серверы и рабочие станции, находящиеся в одной сети с зараженным устройством. При этом эксперты перечисленных выше компаний и сотрудники Cisco Talos полагают, что в данном случае обошлось без украденного у спецслужб инструмента , использующего бреши в SMB. Напомню, что вирусы WannaCry и NotPetya распространялись при помощи именно этого эксплоита.

Впрочем, специалистам все же удалось обнаружить некоторое сходство между Bad Rabbit и Petya (NotPetya). Так, вымогатель не просто зашифровывает пользовательские файлы, используя опенсорсный DiskCryptor , но модифицирует MBR (Master Boot Record), после чего перезагружает компьютер и выводит на экран сообщение с требованием выкупа.

Хотя сообщение с требованиями злоумышленников практически идентично посланию от операторов NotPetya, мнения экспертов относительно связи между Bad Rabbit и NotPetya немного расходятся. Так, аналитики компании Intezer подсчитали, что исходный код вредоносов