Киберполиция знайшла в коді вірусу BadRabbit відсилання до "Грі престолів"
Результати попереднього аналізу даних, отриманих в результаті роботи фахівців підрозділу, оприлюднені на сайті Кіберполіції, повідомляє "ДС".
"У коді "BadRabbit" були виявлені відсилання до фентезійному телесеріалу "Гра престолів". Наприклад, у запланованих завдань - імена трьох драконів з серіалу: Drogon, Rhaegal, Viserion. Раніше схожі відсилання до популярної фентезійній сазі були помічені світовими експертами в складі одного з скриптів, який використовувався для розповсюдження відомого шифровальщика "Locky", - наголошується в повідомленні.
Киберполицейские також констатують, що в коді "BadRabbit" є дубльовані та аналогічні елементи коду "Petya"/"NotPetya".
"На відміну від "NotPetya" шифрувальник "BadRabbit" не є "вайпером", тобто у нього немає мети знищити інформацію на жорстких дисках заражених комп'ютерів. Фахівці відзначають, що справжньою метою цієї "атаки" було бажання зловмисників збагатитися, і вона була здійснена виключно з корисливих мотивів", - заявляють в Кіберполіції.
Як інформують у прес-службі, серед постраждалих країн Україну вразило менше всього.
"Киберполиция зазначає, що аудиторія українських користувачів не є масовою і становить близько 12% загальної кількості завантажень інфікованих оновлень", - йдеться в повідомленні.
Фахівці з Кіберполіції встановили, що ключова відмінність між "Petya"/"NotPetya" і "BadRabbit" в різних початкових векторах атаки.
"BadRabbit" для поширення в якості основного вектора використовує уражені сайти, з яких користувачами завантажувалося фальшиве оновлення Flash.
Киберполиция надає перелік уражених інтернет-сайтів, з яких було зафіксовано поширення вірусу:
hxxp://argumentiru[.]com hxxp://www.fontanka[.]ru hxxp://grupovo[.]bg hxxp://www.sinematurk[.]com hxxp://www.aica.co[.]jp hxxp://spbvoditel[.]ru hxxp://argumenti[.]ru hxxp://www.mediaport[.]ua hxxp://blog.fontanka[.]ru hxxp://an-crimea[.]ru hxxp://www.t.ks[.]ua hxxp://most-dnepr[.]info hxxp://osvitaportal.com[.]ua hxxp://www.otbrana[.]com hxxp://calendar.fontanka[.]ru hxxp://www.grupovo[.]bg hxxp://www.pensionhotel[.]cz hxxp://www.online812[.]ru hxxp://www.imer[.]ro hxxp://novayagazeta.spb[.]ru hxxp://i24.com[.]ua hxxp://bg.pensionhotel[.]com hxxp://ankerch-crimea[.]ru
Факти ураження комп'ютерів жертв в результаті відкриття файлів електронних документів, відправлених по каналах електронної пошти від невстановлених відправників, також мали місце і перевіряються.
Після відвідування ураженого сайту користувачеві пропонується завантажити собі на комп'ютер виконуваний файл-завантажувач (так званий "дроппер"), замаскований під оновлення програмного забезпечення Adobe Flash Player".
Шкідлива програма для подальшого спрацювання повинна запускатися з правами адміністратора. Після запуску вона завантажує ("дроппит") і розгортає основний модуль з назвою infpub.dat в каталозі C:\Windows , який в подальшому виконується з допомогою rundll32.exe Крім infpub.dat "дроппер" в той же каталог завантажує також інші елементи вірусу - файли cscc.dat", "bootstat.dat" і "dispci.exe".
Файл "dispci.exe" надалі запускається за допомогою запланованого завдання операційної системи. Його функція полягає у встановленні елемента вірусу - шифровальщика завантажувальної області.
Надалі шкідлива програма шифрує файли з певними розширеннями, в тому числі .doc, .docx, .xls, .xlsx. Існує припущення, що, ймовірно, використовується алгоритм AES в режимі CBC.
Після шифрування розширення файлів не змінюється. У кінці вмісту файлу додається унікальний текст: "% encrypted", службовець маркером того, що файл був зашифрований. Після цього, як і "NotPetya", "BadRabbit" створює заплановане завдання для перезавантаження операційної системи.
Після завершення атаки, система перезавантажується, і на екрані комп'ютера з'являється повідомлення з вимогою про викуп посиланням на сайт в мережі ТОR. За розшифровку файлів зловмисники вимагають 0,05 ВТС, що еквівалентно приблизно 300 доларам США.
Повідомлення візуально дуже схоже на те, яке з'являлося під час атаки "NotPetya".
