Во вторник, 24 октября 2017 года, программа-вымогатель Bad Rabbit поразила Россию, Украину, Турцию, Германию, Болгарию, США и Японию.
Больше всего пострадали Россия и Украина, поскольку его распространение началось на взломанных хакерами российских новостных сайтах.
Первыми жертвами стали российские агентства "Интерфакс" и "Фонтанка", а также украинские транспортные организации, в том числе одесский аэропорт, киевский метрополитен, Мининфраструктуры и ряд других организаций.
Наши исследования показали, что Bad Rabbit основан на переработанном коде.
НеПетя и exPetr, о чем свидетельствует его поведение и конечная цель атак.
При этом мы заметили, что она включает в себя элементы других программ — программа-вымогатель Например, подходы, использованные при разработке программы-вымогателя HDDCryptor. Однако авторы Bad Rabbit исправили некоторые ошибки и объединили все вышеперечисленные элементы, что привело к очень интересному результату.
Они также использовали для своего кода поддельный сертификат безопасности Symantec. Еще одной характерной особенностью Bad Rabbit является его способность собирать пароли пользователей на зараженных компьютерах и загружать дополнительные вредоносные модули.
Рассматриваемая программа-вымогатель не использует принципиально новые приемы для атаки и заражения, а, наоборот, опирается на очень старую технику, которая предполагает установку пользователями поддельного обновления Adobe Flash. Удивительно, но этот подход до сих пор работает, наглядно демонстрируя низкую осведомленность компаний и потребителей в вопросах кибербезопасности и опасности, скрывающейся за программами-вымогателями.
Пока пользователи не начнут серьезно относиться к этой угрозе и не примут необходимые меры безопасности, риски потери доступа к своим данным остаются очень высокими.
Основные факты о Плохом Кролике
- Использует элементы кода NonPetya/ExPetr.
- Распространяется под видом обновления для Adobe Flash, требующего ручной установки.
- Использует законный драйвер для шифрования
- Он пытается распространиться по локальной сети довольно примитивным способом, но также может использовать уязвимость SMB EternalRomance.
- Заменяет главную загрузочную запись жесткого диска и делает компьютер непригодным для использования.
- Легитимный драйвер не всегда стабилен в Windows 10, и система может выйти из строя.
- В основном пострадали корпоративные пользователи Windows
Схема заражения и технические характеристики
Для проведения атаки киберпреступники взломали несколько популярных медиа-сайтов и разместили на них скрипт со ссылкой на поддельный установщик Adobe Flash, который предлагал пользователям запускать обновление при посещении сайта.Многие пользователи попались на эту уловку, хотя эксперты по безопасности уже много лет предостерегают людей от установки обновлений программного обеспечения из сомнительных источников и рекомендуют проверять все обновления антивирусом, чтобы убедиться, что они не были взломаны или заражены вредоносным кодом.
Подобные поддельные обновления программного обеспечения Adobe были очень популярны много лет назад и, к сожалению, остаются эффективными и сегодня.
Дроппер распространяется с адреса hxxp://1dnscontrol[.
]com/flash_install.php .
Затем пользователь загружает файл install_flash_player.exe, для которого требуются права администратора в системе.
Забавно то, что он пытается получить их с помощью стандартного запроса контроля учетных записей (UAC).
При запуске дроппер извлекает криптографический модуль уровня файла infpub.dat (фактически это библиотека dll), криптографический модуль уровня диска dispci.exe и драйвер режима ядра cscc.dat (фактически легальный драйвер dcrypt.sys).
После того, как пользователь «самозаражает» свой компьютер, Bad Rabbit пытается распространиться по локальной сети с помощью инструмента mimikatz, который дает ему возможность извлекать учетные данные из локальной системы аутентификации безопасности в открытом виде, а также встроенный список учетных данных, содержащий примеры наименее успешных паролей.
Атаки злоумышленников остаются очень эффективными: «12345» и «пароль» уже много лет остаются в числе самых популярных паролей.
Как мы уже отмечали, Bad Rabbit использует два типа шифрования – файловое и дисковое.
Он не имитирует chkdsk.exe, как это делал NonPetya, для маскировки шифрования, и не использует уязвимость EternalBlue на файловом сервере Microsoft srv.sys, но может использовать уязвимость EternalRomance на файловом сервере Microsoft srv.sys. Bad Rabbit сначала запускает шифрование на уровне файлов (infpub.dat через rundll32), если находит для этого достаточно файлов.
Затем он создает задания в планировщике для запуска dispci.exe для шифрования дисков, а затем перезагружает систему.
После первого перезапуска dispci.exe записывает в конец диска расширенную загрузочную программу, которая в дальнейшем берет на себя все функции управления зараженным MBR-диском.
Наконец, весь диск шифруется, основная загрузочная запись заменяется, и компьютер снова перезагружается, и на его экране отображается сообщение о выкупе в размере 0,05 биткойнов (приблизительно 275 долларов США).
Интересно, что на компьютерах с Windows 10 модуль, используемый для шифрования, часто вызывает появление «синего экрана смерти» из-за проблем совместимости.
Другой момент заключается в том, что при зашифровании файлов их расширение не меняется, что может нарушить эвристические механизмы, используемые некоторыми антивирусами, реагирующими на изменение расширения.
Bad Rabbit также может работать в автономном режиме, что потенциально означает, что он может заражать другие компьютеры через флэш-накопители.
Основными целями Bad Rabbit являются компании и коммерческие предприятия, и на данный момент мы уже наблюдаем снижение уровня заражения.
Вредоносный сервер больше не активен, а большинство зараженных сайтов, на которых размещался вредоносный скрипт обновления Flash, отключены или вылечены.
Однако это не значит, что можно расслабиться.
Новая атака могла произойти в любой момент. 
Мы давно отслеживаем проблему программ-вымогателей и заметили, что пользователи часто полагаются на резервные копии как на основной инструмент защиты своих данных.
Как нетрудно догадаться, это заметили не только мы, но и киберпреступники, поэтому почти все новые программы-вымогатели пытаются также удалить или зашифровать файлы резервных копий.
Например, Bad Rabbit, как видно на скриншоте выше, атакует файлы Acronis Backup (*.
tib).
К несчастью для разработчиков Bad Rabbit, начиная с Acronis True Image 2017 New Generation, мы обеспечиваем надежную многоуровневую защиту данных с помощью технологии Active Protection, и последняя атака прекрасно иллюстрирует эффективность нашей проактивной технологии.
Чтобы отразить атаку программ-вымогателей и защитить пользовательские данные, Active Protection не нужно постоянно обновлять, подключаться к Интернету или использовать сложные предопределенные правила.
Все это позволяет Acronis обеспечивать самое безопасное резервное копирование в мире, предоставляя единственное решение, сочетающее в себе активный и пассивный подходы к защите данных.
Как Acronis Active Protection борется с Bad Rabbit и любыми попытками кибер-вымогательства
Давайте пошагово рассмотрим, как Active Protection защищает данные от Bad Rabbit.
Прежде всего, Acronis Active Protection обнаруживает вредоносные DLL-модули, запущенные через rundll32, рекомендует пользователю заблокировать вредоносный процесс и автоматически отменяет все несанкционированные изменения.
Активная защита также обнаруживает и блокирует попытки вредоносного ПО изменить главную загрузочную запись (MBR) вашего жесткого диска.
Наконец, надежные технологии самозащиты, включенные в Acronis Active Protection, легко предотвращают попытки Bad Rabbit или любой другой программы-вымогателя зашифровать ваши резервные копии.
Ранее в этом году функция самозащиты была независимо протестирована в лаборатории.
Anti-malware-test.com и признан очень эффективным, в то время как большинство других решений резервного копирования практически не способны к самозащите.
Надежные резервные копии, которые могут остановить программы-вымогатели, являются обязательными.
Подумайте о том, что если ваша антивирусная программа выйдет из строя и вредоносное ПО зашифрует ваши резервные копии, ваши данные будут потеряны навсегда.
Поэтому важно выбрать решение для резервного копирования, которое:
- Включает в себя превентивные технологии защиты от программ-вымогателей, такие как Активная защита Акронис .
- Обеспечивает многоуровневую защиту, работающую на всех этапах потенциальной атаки: предотвращает, противодействует и восстанавливает.
- Предлагает надежные функции самозащиты, которые не позволяют программам-вымогателям поставить под угрозу ваши локальные или облачные резервные копии.
- Работает быстро, потому что медленное восстановление означает потерю времени и денег.
Технологии Acronis прошли независимое тестирование, подтвердившее их преимущество в скорости перед конкурентами.
Надежные решения для резервного копирования от Acronis:
- Для бизнеса - Акронис Резервное копирование 12.5
- Для домашних пользователей - Акронис True Image 2018
- Для поставщиков услуг - Облако резервного копирования Acronis
-
Как Сделать Предложение И Купить Чужой Сайт
19 Oct, 24 -
Прямая Трансляция Moscowjs Из Офиса Superjob
19 Oct, 24 -
Файлы *.Txt Опасны В Windows
19 Oct, 24 -
Прототип Обновлен До Версии 1.5.1.
19 Oct, 24 -
Тестирование Сериализаторов Для .Net
19 Oct, 24
