Новый вирус-вымогатель BadRabbit распространяется через ложные обновления программного обеспечения Adobe Flash Player.
Об этом сообщает пресс-служба Департамента киберполиции Национальной полиции.
24 октября в Украине зафиксировали атаки типа «drive-by-download» (загрузка вируса благодаря уязвимости браузера или программного обеспечения) с использованием программы шифровальщика, который получил название BadRabbit.
Эксперты установили, что в коде BadRabbit используют элементы кода вирусов-вымогателей Petya и NotPetya.
В отличии от NotPetya, шифровальщик BadRabbit не уничтожает информацию на жестких дисках.
Специалисты отмечают, что настоящей целью вируса является желание авторов обогатиться.
BadRabbit для распространения использует сайты, с которых пользователи загружали фальшивое обновление Flash.
В киберполиции составили список сайтов, на которые сейчас можно загрузить файлы, которые загрузят вирус на компьютер пользователя:
argumentiru[.]com
fontanka[.]ru
grupovo[.]bg
sinematurk[.]сom
aica.co[.]jp
spbvoditel[.]ru
argumenti[.]ru
mediaport[.]ua
blog.fontanka[.]ru
an-crimea[.]ru
t.ks[.]ua
most-dnepr[.]info
osvitaportal.com[.]ua
otbrana[.]com
calendar.fontanka[.]ru
grupovo[.]bg
pensionhotel[.]cz
online812[.]ru
imer[.]ro
novayagazeta.spb[.]ru
i24.com[.]ua
bg.pensionhotel[.]com
ankerch-crimea[.]ru
После заражения компьютера вирус шифрует файлы с выбранными расширениями, в том числе .doc, .docx, .xls, .xlsx.
После завершения атаки система перезагружается и на экране компьютера появляется сообщение с требованием о выкупе и ссылкой на сайт в сети ТОR.
За расшифровку файлов злоумышленники требуют сумму в биткоинах, эквивалентную $ 300.
В киберполиции также выяснили, что в коде BadRabbit были обнаружены отсылки к телесериалу «Игра престолов»: запланированные задачи названы именами драконов из сериала — Drogon, Rhaegal, Viserion.
В полиции составили список советов, чтобы избежать заражения:
— делайте теневое копирование файлов для восстановления данных в случае шифрования;
— заблокируйте выполнения файлов c:\windows\infpub.dat, с:\windows\cscc.dat;
— запретить (если это возможно) использование службы WMI;
— запретить выполнение следующих задач: viserion_, rhaegal, drogon;
— проведите обновление операционной системы и системы безопасности;
— заблокируйте ip-адреса и доменные имена, с которых происходило распространение вредоносных файлов;
— настройкой групповой политики запретите хранения паролей в LSA Dump в открытом виде;
— измените все пароли на сложные для предотвращения атаки по словарю (brute-force);
— настройте блокировку всплывающих окон в браузере;
— применить современные средства обнаружения вторжений и песочницу («sandbox») для анализа подозрительных файлов.
Сегодня киберполиция раскрыла детали вируса, поразившего ряд украинских сайтов.
Как сообщал Realist, СБУ заблокировали дальнейшее распространение вируса.
