МОСКВА, 25 окт - ПРАЙМ. Вирус-шифровальщик BadRabbit, атаковавший в среду информационные системы в ряде стран, проникал на компьютеры жертв с помощью ложного обновления Flash Player, выяснили эксперты антивирусной компании ESET, которая исследовала схему распространения вируса.
Злоумышленники, стоящие за кибератакой 24 октября, использовали скомпрометированные сайты, популярные в России и некоторых других странах, затронутых эпидемией.
"В ESET наблюдали, как на скомпрометированном сайте появляется всплывающее окно с предложением загрузить обновление для Flash Player. Нажав на кнопку "Install/Установить", пользователь инициирует загрузку исполняемого файла, который, в свою очередь, запускает в системе шифратор Win32/Filecoder.D. Далее файлы жертвы будут зашифрованы, и на экране появится требование выкупа в размере 0,05 биткоина (около 17 тысяч рублей)", - говорится в сообщении. Компания отмечает, что в настоящее время связь вредоносной программы с удаленным сервером отсутствует.
"Заразив рабочую станцию в организации, шифратор может распространяться внутри корпоративной сети через протокол SMB. В отличие от своего предшественника Petya/NotPetya, BadRabbit не использует эксплойт EthernalBlue – вместо этого он сканирует сеть на предмет открытых сетевых ресурсов. На зараженной машине запускается инструмент Mimikatz для сбора учетных данных. Предусмотрен жестко закодированный список логинов и паролей", - отмечает ESET.
По данным ESET, шифратор Win32/Diskcoder.D, получивший название BadRabbit – модифицированная версия Win32/Diskcoder.C, более известного как Petya/NotPetya. В новой вредоносной программе исправлены ошибки в шифровании файлов. "Теперь шифрование осуществляется с помощью DiskCryptor – легитимного ПО с открытым исходным кодом, предназначенного для шифрования логических дисков, внешних USB-накопителей и образов CD/DVD, а также загрузочных системных разделов диска", - выяснила ESET.
Ключи генерируются с использованием CryptGenRandom и защищены жестко закодированным открытым ключом. Файлы зашифрованы с расширением .encrypted. Для распространения Diskcoder.D злоумышленники скомпрометировали популярные сайты, внедрив в них вредоносный JavaScript. Среди скомпрометированных площадок – сайты "Фонтанки", "Новой газеты в Санкт-Петербурге" и "Аргументов недели".
Как отмечает ESET, атаке шифратора Diskcoder.D подверглись российские СМИ, а также транспортные компании и государственные учреждения Украины. Статистика атак в значительной степени соответствует географическому распределению сайтов, содержащих вредоносный JavaScript.
Появившиеся в интернете рекомендации по защите от вируса-шифровальщика BadRabbit могут дать кратковременный эффект, необходимо использование надежного антивируса, говорится в сообщении антивирусной компании "Доктор Веб" (Dr.Web).
"В сети существуют рекомендации по защите от данной угрозы... Некоторые из этих мер могут дать кратковременный эффект, но специалисты "Доктор Веб" не могут рекомендовать ограничиваться подобными средствами при защите от киберугроз", - говорится в сообщении.
"Малейшее изменение во вредоносной программе может привести к тому, что подобные меры не дадут никакого эффекта. Таким образом, единственной надежной рекомендацией может быть использование надежного антивируса", - поясняет Dr.Web.
По данным экспертов, вирус-шифровальщик BadRabbit - это модифицированная версия ранее известного Petya/NotPetya.
"Лаборатория Касперского" зафиксировала почти 200 кибератак по всему миру с применением BadRabbit, большинство жертв находятся в России. Меньшее количество атак наблюдалось и в других странах - Украине, Турции и Германии.
