Приветствую Вас, дорогие посетители и гости данного блога! Сегодня в мире появился очередной вирус-шифровальщик по имени: «Bad Rabbit » — «Злобный кролик «. Это уже третий нашумевший шифровальщик за 2017 год. Предыдущие были и (он же NotPetya).

Bad Rabbit — Кто уже пострадал и много ли требует денег?

Пока что предположительно от этого шифровальщика пострадали несколько российских медиа - среди них Интерфакс и Фонтанка. Также о хакерской атаке - возможно, связанной с тем же Bad Rabbit, - сообщает аэропорт Одессы.

За расшифровку файлов злоумышленники требуют 0,05 биткойна, что по современному курсу примерно эквивалентно 283 долларам или 15 700 рублям.

Результаты исследования «Лаборатории Касперского» говорят о том, что в атаке не используются эксплойты. Bad Rabbit распространяется через зараженные веб-сайты: пользователи скачивают фальшивый установщик Adobe Flash, вручную запускают его и тем самым заражают свои компьютеры.

Как сообщает «Лаборатория Касперского» — эксперты расследуют эту атаку и ищут способы борьбы с ним, а так же ищут возможность дешифровки файлов, пострадавших от шифровальщика.

Большая часть пострадавших от атаки находятся в России. Так же известно, что похожие атаки происходят в Украине, Турции и Германии, но в гораздо меньшем количестве. Шифровальщик Bad Rabbit распространяется через ряд заражённых сайтов российских СМИ.

«Лаборатория Каперского» считает, что все признаки указывают на то, что это целенаправленная атака на корпоративные сети. Используются методы, похожие на те, что мы наблюдали в атаке ExPetr, однако связь с ExPetr мы подтвердить не можем.

Уже известно, что продукты «Лаборатории Касперского» детектируют один из компонентов зловреда с помощью облачного сервиса Kaspersky Security Network как UDS:DangerousObject.Multi.Generic, а также с помощью System Watcher как PDM:Trojan.Win32.Generic.

Как защитить себя от вируса Bad Rabbit?

Чтобы не стать жертвой новой эпидемии «Плохого кролика», «Лаборатория Касперского » рекомендуем сделать следующее:

Если у вас установлен Антивирус Касперского, то:

• Проверьте, включены ли в вашем защитном решении компоненты Kaspersky Security Network и «Мониторинг активности» (он же System Watcher). Если нет - обязательно включите.

Для тех, у кого нет данного продукта:

• Заблокируйте исполнение файла c:\windows\infpub.dat, C:\Windows\cscc.dat. Это можно сделать через .
• Запретите (если это возможно) использование сервиса WMI.

Еще очень важный совет от меня:

Всегда делайте backup (бекап — резервная копия ) важных Вам файлов. На съемном носителе, в облачных сервисах! Это сбережет ваши нервы, деньги и время!

Желаю вам не подхватит эту заразу к себе на ПК. Чистого и безопасного Вам интернета!

Несколько российских СМИ и украинских организаций подверглись атаке шифровальщика Bad Rabbit. В частности, хакеры атаковали три российских СМИ, среди которых «Интерфакс» и «Фонтанка».

24 октября началась новая масштабная кибер-атака с использованием вируса-шифровальщика Bad Rabbit. Зловред поразил компьютерные сети Киевского метрополитена, Министерства инфраструктуры, Международного аэропорта “Одесса”. Несколько жертв оказались и в России - в результате атаки пострадали редакции федеральных СМИ, таких как «Интерфакс» и «Фонтанка».

Kill Switch: необходимо создать файл C:\windows\infpub.dat и выставить ему права «только для чтения». В этом случае даже при заражении файлы не будут зашифрованы.

Вероятнее всего вирус распространяется через взломанные веб-сайты, предлагая пользователям установить обновление флеш-плеера:

Предварительный анализ показывает, что зловред распространяется через ряд заражённых сайтов российских СМИ. Все признаки указывают на то, что это целенаправленная атака на корпоративные сети.

После проникновения на компьютер жертвы вредоносная программа шифрует пользовательские файлы. Для восстановления доступа к закодированным данным предлагается заплатить выкуп в размере 0,05 биткойна, что по современному курсу примерно эквивалентно 283 долларам США или 15 700 рублям. При этом злоумышленники предупреждают, что в случае промедления цена за расшифровку вырастет.

Подробности о схеме распространения Bad Rabbit пока отсутствуют. Не ясно и то, можно ли расшифровать файлы. Но уже известно, что большинство жертв атаки находятся в России. Кроме того, похожие нападения зафиксированы в Украине, Турции и Германии, но в значительно меньшем количестве.

О хакерской атаке сообщила и пресс-служба Киевского метрополитена. Хакерам удалось нарушить возможность оплаты проезда с помощью бесконтактных банковских карточек. «Внимание! Кибератака! Метро работает в обычном режиме, кроме банковских сервисов (оплата бесконтактными банковскими карточками на желтом турникете или MasterPass)», - сообщается в официальном аккаунте киевского метро в Facebook.

Злоумышленники просят своих жертв перейти по ссылке ведущей на TOR-сайт , на котором запускается автоматический счетчик. После оплаты, по заверениям злоумышленников, жертва должна получить персональный ключ к расшифровке.

Пока неизвестны способы распространения и закрепление в системе, а также нет достоверной информации о наличии ключей расшифровки.

Сотрудники Лаборатории Касперского рекомендуют следующие действия:

Заблокируйте исполнение файла c:\windows\infpub.dat, C:\Windows\cscc.dat.
Запретите (если это возможно) использование сервиса WMI.

Пост будет обновлен по мере поступления информации.

24 октября многих пользователей в Украине и России «навестил пасхальный кролик». Только он принес не подарки и радость, а огромное количество проблем. Да и назвали его соответственно - Bad Rabbit (или как пишут некоторые специалисты - BadRabbit). Именно под таким названием начал распространяться очередной вирус-шифровальщик.

Кто пострадал?

Первые сведения об атаке появились 24 октября сутра. Пострадали многие госкомпании в Украине (Киевский метрополитен, Одесский аэропорт) и России, а также некоторые СМИ. Также атакам подверглись и финучреждения, но злоумышленникам не удалось нанести им вред. В свою очередь, представители компании ESET сообщили, что проблемы возникли не только в России и Украине, но также в Турции, Японии и Болгарии.

После блокировки ПК малварь сообщала пользователю, что за разблокировку данных он должен перевести 0,05 биткоина (эквивалентно 280 USD) на счет злоумышленников.

Как распространяется?

Точных данных о способе распространения зловреда не было ничего известно. В компании Group-IB отметили, что атака готовилась несколько дней (хотя по мнению представителя «Лаборатории Касперского» Костина Райю подготовка заняла намного больше времени).

Однако, уже сегодня известно, что зловред распространялся под видом обычных обновлений Adobe Flash, не задействуя брешь в SMB, которой ранее пользовались шифровальщики WannaCry и NotPetya. Но и тут мнения специалистов расходятся.

В Group-IB считают , что Bad Rabbit - модификация NotPetya, в которой хакерам удалось исправить ошибки в алгоритме шифрования. В то же время представители Intezer отмечают, что вредоносный код идентичен только на 13%.

В ESET и «Лаборатории Касперского» заняли достаточно интересную позицию: в компаниях не исключают, что «злой кролик» может быть последователем NotPetya, но прямых заявлений по этому поводу не делают.

Как защитить компьютер?

На данный момент распространение шифровальщика уже прекращено, но специалисты отмечают, что стоит позаботиться о защите своих ПК от заражения. Для этого создайте файлы:

• C:\Windows\infpub.dat и C:\Windows\cscc.dat;
• снимите с них все разрешения на выполнение (заблокируйте).

I can confirm — Vaccination for

Новый вирус-шифровальщик Bad Rabbit ("Плохой кролик") во вторник атаковал сайты ряда российских СМИ. В частности, атакам подверглись информационные системы агентства "Интерфакс", а также сервер петербургского новостного портала "Фонтанка". После полудня Bad Rabbit начал распространяться на Украине - вирус поразил компьютерные сети Киевского метрополитена, министерства инфраструктуры, международного аэропорта Одессы. Похожие атаки наблюдаются в Турции и Германии, хотя и в значительно меньшем количестве. ТАСС объясняет, что это за вирус, как от него уберечься и кто может за ним стоять.

Bad Rabbit - это вирус-шифровальщик

Вредоносная программа заражает компьютер, шифруя на нем файлы. Для получения доступа к ним вирус предлагает совершить платеж на указанном сайте в даркнете (для этого потребуется браузер Tor). За разблокировку каждого компьютера хакеры требуют заплатить 0,05 биткойна, то есть примерно 16 тыс. рублей или $280. На выкуп отводится 48 часов — после истечения этого срока сумма увеличивается.

По лаборатории компьютерной криминалистики компании Group-IB, вирус-шифровальщик пытался атаковать не только российские СМИ, но и российские банки из топ-20, однако ему это не удалось.

По вирусной лаборатории ESET, в атаке использовалось вредоносное программное обеспечение Diskcoder.D — новая модификация шифратора, известного как Petya. Предыдущая версия Diskcoder была задействована в в июне 2017 года. В Group-IB , что вирус Bad Rabbit мог написать автор NotPetya (это обновленная версия "Пети" 2016 года) или его последователь.

"Раздача вредоносного ПО проводилась с ресурса 1dnscontrol.com. Он имеет IP 5.61.37.209, с этим доменным именем и IP-адресом связаны следующие ресурсы: webcheck01.net, webdefense1.net, secure-check.host, firewebmail.com, secureinbox.email, secure-dns1.net", — ТАСС в Group-IB. В компании отметили, что на владельцев этих сайтов зарегистрировано множество ресурсов, например, так называемые фарм-партнерки — сайты, которые через спам продают контрафактные медикаменты. "Не исключено, что они использовались для рассылки спама, фишинга", — добавили в компании.

Bad Rabbit распространялся под видом обновления плагина Adobe Flash

Пользователи самостоятельно одобряли установку этого обновления и таким образом заражали свой компьютер. "Никаких уязвимостей вообще не было, пользователи сами запускали файл", — замглавы лаборатории компьютерной криминалистики Group-IB Сергей Никитин. Попав в локальную сеть, Bad Rabbit крадет из памяти логины и пароли и может самостоятельно устанавливаться на другие компьютеры.

Вируса достаточно легко избежать

Чтобы защититься от заражения Bad Rabbit, компаниям достаточно заблокировать указанные домены для пользователей корпоративной сети. Домашним пользователям следует обновить Windows и антивирусный продукт — тогда этот файл будет детектироваться как вредоносный.

Пользователи встроенного антивируса операционной системы Windows — Windows Defender Antivirus — уже от Bad Rabbit. "Мы продолжаем расследование, и при необходимости мы примем дополнительные меры по защите наших пользователей", — ТАСС пресс-секретарь корпорации Microsoft в России Кристина Давыдова.

"Лаборатория Касперского" также подготовила для того, чтобы не стать жертвами новой эпидемии. Производитель антивирусов посоветовал всем сделать бэкап (резервное копирование). Кроме того, компания рекомендовала заблокировать исполнение файла c:\windows\infpub.dat, C:\Windows\cscc.dat, а также, если возможно, запретить использование сервиса WMI.

Минкомсвязи считает, что атака на российские СМИ не была целенаправленной

"При всем уважении к большим СМИ, это не критический объект инфраструктуры", — глава Минкомсвязи Николай Никифоров, добавив, что какую-то определенную цель хакеры вряд ли преследовали. По его мнению, такие атаки, в частности, связаны с нарушением мер безопасности при подключении к "открытому интернету". "Скорее всего, эта информационная система ("Интерфакса" — прим. ТАСС) не сертифицирована", — предположил министр.

Основная волна распространения вируса уже завершилась

"Сейчас можно говорить о прекращении активного распространения вируса, третья эпидемия практически завершилась. Даже домен, через который распространялся Bad Rabbit, уже не отвечает", — в Group-IB. По словам Сергея Никитина, возможны единичные случаи заражения вирусом, в частности в корпоративных сетях, где уже были украдены логины и пароли, и вирус может установиться сам, без участия пользователя. Однако уже можно говорить о завершении основной волны третьей эпидемии вируса-шифровальщика в 2017 году.

Напомним, что в мае компьютеры по всему миру атаковал вирус . На зараженных компьютерах блокировалась информация, а за разблокировку данных злоумышленники требовали $600 в биткойнах. В июне другой вирус под названием Petya атаковал нефтяные, телекоммуникационные и финансовые компании России, Украины и некоторые страны ЕС. Принцип его действия был таким же: вирус шифровал информацию и требовал выкуп в размере $300 в биткойнах.

BadRabbit вирус функционирует как новая крипто-угроза, которая сумела нанести ущерб в Восточной Европе. Он действует аналогично печально известному или вымогателю, который разразился в киберпространстве несколько месяцев назад. Присмотревшись ближе, хотя есть сходства, и ИТ-специалисты подозревают, что разработчик может быть тем же, но исходный код совсем другой.

На данный момент количество жертв, как говорят, превысило 200 человек. Похоже, что разработчики сильно не любят Россию и Украину, поскольку эти две страны больше всего пострадали. Основными целями являются Одесский международный аэропорт в Украине и несколько медиа-корпораций в России, в том числе Интерфакс, Фонтанка.ру и др. Кроме того, нападение также распространилось на соседние страны, такие как Турция и Болгария.

Приводная атака,осуществляющаяся через поддельные обновления Flash Player

Продукт Adobe Flash Player еще раз продемонстрировал успех разработчиков вредоносных программ. Основной вредоносный компонент программы замаскирован под фальшивое Flash обновления. Вредоносная программа загружается как install _ flash _ player . exe файл с поврежденных сайтов. BadRabbit вымогатель также может маскироваться под альтернативными именами файлов.

Как показывает VirusTotal анализ, угроза может скрываться в определенном “деинсталляторе”. К счастью, инфекция уже обнаруживается большинством приложений безопасности. Вредоносная программа использует определенные уязвимости SMB серверов, что объясняет, почему она способна проникать в серверы.

После вторжения Bad Rabbit вымогатель создает C :\ Windows \ infpub . dat файл. Следовательно, он генерирует следующие файлы — C :\ Windows \ cscc . dat и C :\ Windows \ dispci . exe . Они отвечают за изменение MBR настроек. Интересно, что вредоносное ПО предлагает ссылки на персонажей Игры Престолов. Вредоносная программа BadRabbit создает три задачи, названные в серии после трех драконов:

• C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat,#1 15
• cmd.exe /c schtasks /Delete /F /TN rhaegal
• cmd.exe /c schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR
• cmd.exe /c schtasks /Create /SC once /TN drogon /RU SYSTEM /TR:00
• C:\Windows\AF93.tmp» \

Он также использует сервис шифрования с открытым исходным кодом под названием DiskCryptor. Позже он использует стандартные методы шифрования AE и RSA-2048. Они предназначены для различных форматов файлов. Поскольку Petya.A не добавляет расширения файла, но вмешивается в настройки Master Boot Record (MBR).

Он перезагружает систему и отображает ту же самую записку с выкупом, что и NotPetya. Он также направляет жертв на свой уникальный сайт оплаты. Он кратко информирует их о вредоносном ПО и требует выкуп 0,05 BTC. После успешного проникновения вредоносного ПО в систему, оно использует Mimikatz для получения технической информации о других устройствах, видимых в одной сети.

BadRabbit вирус продолжает злодеяние Petya.
Метод 1. (Безопасный режим)
Выберите "Safe Mode with Networking" Метод 1. (Безопасный режим)
Выберите "Enable Safe Mode with Networking"

Выберите "Safe Mode with Command Prompt" Метод 2. (Системное восстановление)
Выберите "Enable Safe Mode with Command Prompt"
Метод 2. (Системное восстановление)
Введите "cd restore" без кавычек и нажмите "Enter"
Метод 2. (Системное восстановление)
Введите "rstrui.exe" без кавычек и нажмите "Enter"
Метод 2. (Системное восстановление)
В появившемся окне "System Restore" выберите "Next"
Метод 2. (Системное восстановление)
Выберите Вашу точку восстановления и щелкните "Next"
Метод 2. (Системное восстановление)
Щелкните "Yes" и начните восстановление системы ⇦ ⇨

Слайд 1 из 10

Например, или помогут вам идентифицировать инфекцию. Такой инструмент может помочь вам выполнить удаления BadRabbit. Ниже вы найдете инструкции по восстановлению доступа к компьютеру. После этого вы сможете удалить Bad Rabbit вирус.

Устранение крипто-угрозы BadRabbit

Из-за своих специфических методов работы неудивительно, почему вредоносное ПО называется следующим Petya. Если вы столкнулись с этим кибер несчастьем, следуйте приведенным ниже инструкциям. Поскольку вымогатель изменяет настройки MBR, вы не сможете сразу загрузить компьютер в безопасном режиме. Выполните инструкции сброса MBR.

После этого перезагрузите компьютер в безопасном режиме, повторно активируйте свои приложения безопасности и удалите BadRabbit вирус. После сканирования запустите компьютер в обычном режиме и повторите процедуру. Это подтвердит, что удаление Bad Rabbit завершено. Обратите внимание, что устранение вредоносных программ не восстанавливает закодированные файлы. Попробуйте восстановить их из резервных копий. Ниже вы найдете несколько предложений.

На Windows 7:

1. Вставьте Windows 7 DVD.
2. Запустите DVD.
3. Выберите настройки языка и клавиатуры. Нажмите Далее .
4. Выберите вашу операционную систему, отметьте Использовать инструменты восстановления и нажмите Далее .
5. Подождите появление экрана Опции системного восстановления и выберите Командную строку .
6. Введите следующие команды и жмите Enter после каждой: bootrec / rebuildbcd , bootrec / fixmbr , andbootrec / fixboot .
7. Извлеките установочный DVD-диск и перезагрузите ПК.

На системах Windows 8/10:

1. Вставьте установочный DVD или USB-накопитель восстановления.
2. Выберите опцию Исправление вашего компьютера .
Устранение неполадок и перейдите в Командную строку .
3. Введите следующие команды по одной и жмите Enter после каждой: bootrec / FixMbr , bootrec / FixBoot , bootrec / ScanOs , и bootrec / RebuildBcd .
4. Извлеките DVD или USB восстановление.
5. Введите выход и нажмите Enter.
6. Перезагрузите ПК.