Експерти знайшли родинний зв'язок нового вірусу з Petya і розповіли, як від нього захиститися.
Вірус BadRabbit, який поширився 24 жовтня в Україні і Росії, а також торкнувся деяких інших країн, виявився родичем відомого шифрувальника Petya.
Фахівці з кібербезпеки дізналися, що творці BadRabbit планували зараження протягом декількох днів, а жертвами мали стати великі банки.
Незважаючи на те, що епідемія пішла на спад, експерти з інформаційної безпеки поширюють поради, як захиститися від атаки BadRabbit.
Хвиля BadRabbit
24 жовтня після обіду на хакерську атаку послідовно поскаржилися метрополітен Києва, одеський аеропорт, новинне агентство Інтерфакс та інтернет-видання Liga.net і Фонтанка.ру.
Як повідомили в міжнародній компанії Group-IB, що розслідує кіберзлочини, вірус також намагався атакувати найбільші банки Росії. Однак їхня система безпеки впоралася з BadRabbit.
Основна частина заражень BadRabbit припала на російські комп'ютери, трохи менше постраждала Україна. На атаки також скаржилися в Німеччині, Туреччині та Болгарії, повідомили в Лабараторії Касперського.
На Росію припадало 65 відсотків атак, на Україну - 12,2 відсотків, Болгарію - 10,2 відсотка, Туреччину - 6,4 відсотка, Японію - 3,8 відсотка, на інші країни - 2,4 відсотка.
Як видно на фотографіях заблокованих екранів комп'ютерів, хакери рекомендують "не гаяти час", намагаючись відновити файли. Зловмисники обіцяють відновити доступ за 0,05 біткойна (близько 280 доларів).
При цьому, згідно з інформацією на екрані, не набагато більше ніж через 40 годин вартість розшифровки за кожен ПК зростає.
У СБУ повідомили про блокування поширення загрози в ніч з 24 на 25 жовтня. Вони зазначили, що вірус поширювався з використанням фішингових електронних листів зі зворотною адресою, що асоціюється зі службою технічної підтримки Microsoft.
Примітно, що 12 жовтня СБУ попереджала про ймовірність нових масштабних кібератак на державні структури і приватні компанії.
Кролик послався на Гру престолів
За даними компанії Proofpoint, BadRabbit поширюється через фальшиве оновлення Adobe Flash Player.
Код вірусу містить посилання на Гру престолів: в ньому згадуються імена драконів Дрогона, Рейгаля і Візеріона, зауважив експерт в галузі комп'ютерної безпеки Кевін Б’юмон.
Вірус шифрує широкий спектр файлів, в тому числі .doc, .docx, .jpg, зазначає McAfee. Згідно з інформацією на сайті Adobe, 16 жовтня вона випустила оновлення системи безпеки Adobe Flash Player.
"Після заходження на заражений ресурс користувачеві пропонувалося оновити flash-плеєр. У разі натискання кнопки дані на його комп'ютера зашифровуються. Вірус також крав паролі з його пристрою і з їхньою допомогою зашифровував інші комп'ютери, що перебувають з ним в одній мережі", - розповів РБК заступник керівника лабораторії комп'ютерної криміналістики Group-IB Сергій Нікітін.
У Group-IB дізналися, що IP домену, який роздавав віруси, пов'язаний з п'ятьма ресурсами, на власників яких зареєстровано безліч інших сайтів, в тому числі фарма-партнерок (сайти, які продають підроблені медикаменти через спам).
Завантаження шкідливого ПО йшло з ресурсу 1dnscontrol.com - IP 5.61.37.209, повідомляється на сайті Group-IB. Його доменне ім'я було зареєстровано 22 березня 2016 року і продовжується досі.
"З ним пов'язано безліч інших шкідливих доменів, перша активність яких стосується ще до 2011 року", - зазначають експерти.
Родич Petya
За даними Group-IB, кібератака була ретельно спланована і готувалася протягом декількох днів.
Зокрема, один з java-скриптів, що беруть участь в зараженні, востаннє оновлювався ще 19 жовтня, тобто за п'ять днів до епідемії.
Експерти з кібербезпеки відзначають схожість BadRabbit з вірусом-шифрувальником Petya, також відомим, як Petya A, ExPetr і Not.Petya.
Розробники антивірусного програмного забезпечення ESET розповіли Газеті, що в атаці використовувалося шкідливе програмне забезпечення Diskcoder.D, яке є модифікацією вірусу-шифратора Not.Petya - саме він використовувався при кібератаці на українські компанії влітку цього року.
Крім того, у вірусі передбачений жорстко закодований список облікових даних.
У Group-IB теж підтвердили родинний зв'язок BadRabbit і Petya. Фахівці повідомляють про модифіковану версію вірусу, в якій були виправлені помилки алгоритму шифрування.
Лабораторія Касперського також вбачає в новому вірусі деяку схожість з Petya, але зв'язок з ним поки не підтверджує.
Третя епідемія за рік
BadRabbit став вже третьою вірусною епідемією за 2017 рік. У травні вірус-шифрувальник WannaCry атакував 200 тисяч комп'ютерів в 150 країнах світу. Тоді дослідники дійшлиприйшли до висновку, що за атакою стоять північнокорейські хакери з Lazarus.
Потім 27 червня вірус Petya (NotPetya і ExPetr) проник в 12,5 тисячі комп'ютерів в 65 країнах. Дослідники пов'язували його з групою BlackEnergy.
Petya проникав на комп'ютери з операційною системою Windows, де не були встановлені оновлення, шифрував вміст жорстких дисків і вимагав викуп за розшифровку в розмірі 300 доларів в біткойнах.
Але головна властивість Petya розкрилася через кілька днів. Вірус, що атакував компанії всього світу, виявився зовсім не здирником. Він безповоротно шифрував файли, і можливість повернути до них доступ в коді вірусу просто не передбачена.
Поширювався Petya через українську компанію M.E.Doc, що розробляє системи звітності та документообігу. Для зараження корпоративної мережі досить одного вразливого комп'ютера, на якому не встановлені оновлення безпеки.
Як захиститися від шифрувальників:
- як домашнім, так і корпоративним користувачам необхідно оновлювати системи безпеки (включаючи антивірус) і операційну систему разом з появою їхніх нових версій;
- створювати резервні копії даних. Вони дозволять відновити файли, а заражений жорсткий диск можна буде просто відформатувати;
- не відкривати підозрілі листи, що приходять на поштову скриньку;
- не скачувати програмне забезпечення з неперевірених або підозрілих джерел;
- не вставляти в комп'ютер невідомі флешки або інші носії;
- якщо комп'ютер вже почав шифруватися, то потрібно його відразу вимкнути.
Якщо атакував BadRabbit:
- оперативно ізолюйте комп'ютери, зазначені в тікетах, якщо такі будуть, а також переконайтеся в актуальності і цілісності резервних копій ключових мережевих вузлів;
- оновіть операційні системи і системи безпеки;
- заблокуйте ip-адреси і доменні імена, з яких відбувалося поширення шкідливих файлів;
- що робити з паролями:
1. Настройками групової політики забороніть зберігання паролів в LSA Dump у відкритому вигляді
2. Змініть всі паролі на складні для запобігання брута за словником;
- поставити блокування спливаючих вікон;
- застосувати сучасні засоби виявлення вторгнень і пісочницю для аналізу файлів.
- заборонити виконання наступних завдань: viserion_, rhaegal, drogon.