МОСКВА, 25 окт - ПРАЙМ. Киберпреступления стали новой реальной угрозой современности: в этом году массовой хакерской атаке вирусов-шифровальщиков WannaCry и Petya подверглось большое количество энергетических, телекоммуникационных и финансовых организаций, а также государственных структур разных стран. Во вторник, 24 октября, мир захватила новая эпидемия: на этот раз вирус-шифровальщик BadRabbit затронул в основном Россию, Украину, Германию, Турцию. Зловредная программа требовала выкуп в биткоинах. Компании, специализирующиеся на кибербезопасности, рассказали, как защитить себя от вредоносных файлов и предупредили, что атаки и преступления в сети уже приняли гигантские масштабы, которые будут только расти.
Что такое BadRabbit
Вирус-шифровальщик BadRabbit является модифицированной версией вируса NotPetya с исправленными ошибками в алгоритме шифрования, объясняют специалисты компании Group-IB, поясняя, что код BadRabbit включает части, полностью повторяющие NotPetya. Вредоносная программа распространялась с помощью веб-трафика со взломанных интернет-ресурсов.
Атака вируса-шифровальщика BadRabbit готовилась несколько дней, от которой пострадали Киевский метрополитен, министерство инфраструктуры Украины, одесский аэропорт, а также информационное агентство "Интерфакс" и петербургское онлайн-издание "Фонтантка". Также вирус пытался атаковать российские банки, входящие в топ-20, однако безуспешно, что, как считают в Group-IB, показывает большую защищенность банковского сектора от кибератак. По данным "Лаборатории Касперского", вирус также затронул компании в Германии и Турции. Компания зафиксировала почти 200 кибератак по всему миру с применением вируса-шифровальщика BadRabbit.
Проникновение вируса происходит через установку фальшивого обновления ПО (предположительно Flash Player) с скомпрометированных веб-сайтов, которые после взлома стали распространять вредоносное ПО под видом легитимного обновления ПО, поясняет компания "Информзащита", замечая, что наиболее уязвимой системой является операционная система семейства Windows. Злоумышленники потребовали в качестве выкупа за расшифровку файлов 0,05 биткоина (около 283 долларов).
Что делать?
Превентивные меры
Эксперты сделали несколько рекомендаций пользователям по защите от нового вируса. Для избежания заражения, по словам экспертов Group-IB, необходимо создать файл C:\windows\infpub.dat и поставить ему права "только для чтения". Даже в случае заражения файлы не будут зашифрованы, поясняют специалисты.
В "Информзащите" рекомендуют обновить сигнатуры антивирусного ПО, сделать полную резервную копию критичных данных, заблокировать доступ к вредоносному сайту http://1dnscontrol.com/, проинформировать работников об угрозе заражения и предоставить перечень рекомендуемых действий. Помимо этого специалисты советуют временно заблокировать прохождение трафика между сетевыми сегментами ЛВС по портам TCP 135, 445. Данная мера позволит снизить риск распространения вредоносного ПО BadRabbit внутри сети.
Специалисты Group-IB также отмечают, что необходимо заблокировать ip-адреса и доменные имена, с которых происходило распространение вредоносных файлов; поставить пользователям блокировку всплывающих окон.
Рекомендации по факту заражения
"Информзащита" не рекомендует выплачивать "выкуп" злоумышленникам, так как нет гарантии восстановления данных. По их словам, первое, что необходимо сделать - отключить зараженный компьютер от локальной сети. Затем в случае отсутствия резервной копии, сделать резервную копию зашифрованного диска (в случае появления утилита-дешифратора, есть вероятность восстановить данные). При наличии резервной копии данных нужно произвести удаление вредоносного ПО средствам антивируса, либо полностью восстановить ОС из корпоративного "золотого образа", затем обновить базу данных сигнатур и выполнить полную антивирусную проверку рабочей станции.
Как отмечают в Group-IB, к защите данных нужно подходить с большей ответственностью, так как после того, как атаки шифровальщиков показали свою эффективность, хакеры будут активнее разрабатывать аналогичные инструменты, что приведет к новым взломам.
