В киберполиции рассказали детали о действиях вируса "BadRabbit"

Об этом сообщает "ДС" со ссылкой на пресс-службу ведомства.

Так, для распространения вируса использовались фейковые обновления программного обеспечения "Adobe Flash Player". В коде вируса "BadRabbit" есть дублированные и аналогичные элементы кода "Petya"/"NotPetya" (Mimikatz, использование протокола SMB для горизонтального распространения, используя имена пользователей и их пароли и прочее).

В отличии от "NotPetya" шифровальщик "BadRabbit" не является "вайпером, то есть он не имеет целью уничтожение информации на жестких дисках пораженных компьютеров". Кроме того, начальные векторы атаки отличаются. Специалисты отмечают, что настоящей целью этой "атаки" было желание злоумышленников обогатиться.

"BadRabbit" для распространения в качестве основного вектора использует пораженные Интернет сайты, с которых пользователями загружалось фальшивое обновление "Flash". Другим отличием вирусов является то, что "BadRabbit" не использует уязвимость "EternalBlue".

Следует отметить, что среди пострадавших стран, Украину поразило меньше. Аудитория украинских пользователей не является массовой и составляет около 12% от общего количества раз загрузки инфицированных обновлений.

В то же время, киберполиции предоставила перечень пораженных интернет сайтов, с которых было зафиксировано распространение фальшивых обновлений "Flash".

После посещения пораженного сайта, пользователю предлагается загрузить к себе на компьютер исполняемый файл-загрузчик (так называемый "Дроппер"), который маскируется под обновление программного обеспечения "Adobe Flash Player". Вредоносная программа для дальнейшего срабатывания должна запускаться с правами администратора. После запуска, она загружает и разворачивает основной модуль с названием infpub.dat в каталоге C:\Windows, который в дальнейшем выполняется с помощью rundll32.exe.

Кроме infpub.dat "Дроппер" в тот же каталог загружает и другие элементы вируса - файлы "cscc.dat", "bootstat.dat" и "dispci.exe". Файл "dispci.exe" в дальнейшем запускается с помощью запланированного задания операционной системы. Его функция заключается в установлении элемента вируса - шифровальщика загрузочной области.

В дальнейшем вредоносная программа шифрует только файлы с выбранными расширениями, в том числе .doc, .docx, .xls, .xlsx. Существует предположение, что используется вероятно алгоритм AES в режиме CBC. После шифрования, расширения файлов не меняется. В конце содержимого файла добавляется уникальный текст: "% encrypted", который является маркером того, что файл был зашифрован.

После завершения атаки, система перезагружается и на экране компьютера появляется сообщение с требованием о выкупе и ссылкой на сайт в сети ТОR. За расшифровку файлов злоумышленники требуют 0,05 ВТС, что эквивалентно около $300. Сообщение визуально очень похоже на то, которое появлялось во время атаки "NotPetya".

Также работники киберполиции установили, что в коде "BadRabbit" были обнаружены отсылки к телесериалу "Игра престолов".

Рекомендации для пользователей, чтобы не стать жертвой вируса-шифровальщика или вымогателя:

- делайте теневое копирование файлов для восстановления данных в случае шифрования;

- заблокируйте выполнения файлов c: \ windows \ infpub.dat, C: \ Windows \ cscc.dat;

- запретите (если это возможно) использование службы WMI;

- запретите выполнение следующих задач: viserion_, rhaegal, drogon;

- проведите обновление операционной системы и системы безопасности;

- заблокируйте ip-адреса и доменные имена с которых происходило распространение вредоносных файлов;

- настройкой групповой политики запретите хранения паролей в LSA Dump в открытом виде;

- измените все пароли на сложные для предотвращения атаки по словарю (brute-force)

- настройте блокировку всплывающих окон в браузере;

- применить современные средства обнаружения вторжений и песочницу ("sandbox") для анализа подозрительных файлов.