Триколор 

Что за вирус Bad Rabbit и как от него защититься. Как защититься от вируса Bad Rabbit Новый вирус bad rabbit

24 октября российские СМИ, а также транспортные компании и государственные учреждения Украины подверглись атаке шифровальщика Bad Rabbit («Плохой кролик»). По данным открытых источников, в числе пострадавших Киевский метрополитен, аэропорт Одессы, Министерство инфраструктуры Украины, редакции «Интерфакса» и «Фонтанки».

По данным вирусной лаборатории ESET, в атаке на Киевский метрополитен использовалось вредоносное ПО Diskcoder.D - новая модификация шифратора, известного как Petya.

Специалисты по информационной безопасности из Group-IB установили, что атака готовилась несколько дней. В ESET предупреждают, что шифровальщик проникает в компьютер через поддельное обновление плагина Adobe Flash. После этого он заражает ПК и шифрует файлы на нем. Затем на мониторе появляется сообщение о том, что компьютер заблокирован, а для расшифровки файлов необходимо зайти на сайт Bad Rabbit - caforssztxqzf2nm.onion через браузер Tor.

Эпидемии шифровальщиков WannaCry и NotPetya показали, что необходимо вовремя обновлять установленные программы и систему, а также делать резервные копии, чтобы не остаться без важной информации после атаки вирусов.

Однако, если заражение произошло эксперты из Group-IB не рекомендуем платить выкуп, так как:

  • таким образом вы помогаете преступникам;
  • у нас нет доказательств, что данные тех, кто заплатил, были восстановлены.

Как защитить компьютер от заражения Bad Rabbit?

Чтобы не стать жертвой новой эпидемии Bad Rabbit («Плохой кролик»), специалисты «Лаборатории Касперского» рекомендуют сделать следующее:

Для пользователей антивирусных решений «Лаборатории Касперского»:

  • Проверьте, включены ли в вашем защитном решении компоненты Kaspersky Security Network и «Мониторинг активности» (он же System Watcher). Если нет - обязательно включите.

Для тех, кто не пользуется антивирусными решениями «Лаборатории Касперского».

Обновление 27.10.2017. Оценка возможности дешифрования. Возможность восстановления файлов. Вердикты.

Что произошло?

Во вторник 24 октября мы получили уведомления о массовых атаках с использованием вымогателя Bad Rabbit («Плохой кролик»). Пострадали организации и отдельные пользователи - преимущественно в России, но были и сообщения о жертвах из Украины. Такое сообщение видят жертвы:

Что представляет собой Bad Rabbit?

Bad Rabbit относится к ранее неизвестному семейству программ-вымогателей.

Как он распространяется?

Зловред распространятся с помощью drive-by-атаки: жертва посещает легитимный веб-сайт, а на ее компьютер из инфраструктуры организатора атаки загружается . Преступники не использовали , поэтому для заражения пользователь должен был вручную запустить файл, замаскированный под установщик Adobe Flash. Тем не менее, наш анализ подтверждает, что Bad Rabbit использовал эксплойт EternalRomance для распространения внутри корпоративных сетей. Этот же эксплойт использовался шифровальщиком ExPetr.

Мы обнаружили ряд взломанных ресурсов - все они представляют собой новостные порталы и сайты СМИ.

На кого нацелена атака?

Большинство жертв находятся в России. Схожие, но менее массовые атаки затронули другие страны - Украину, Турцию и Германию. Общее количество целей, согласно статистике KSN, доходит до 200.

Когда «Лаборатория Касперского» обнаружила угрозу?

Мы смогли отследить исходный вектор атаки в самом ее начале, утром 24 октября. Активная фаза продолжалась до полудня, хотя отдельные атаки фиксировались до 19.55 по Москве. Сервер, с которого распространялся дроппер Bad rabbit, был отключен тем же вечером.

Чем Bad Rabbit отличается от шифровальщика ExPetr? Или это тот же зловред?

По нашим наблюдениям, сейчас речь идет о целевой атаке на корпоративные сети, ее методы схожи с применявшимися во время . Более того, анализ кода Bad Rabbit продемонстрировал его заметное сходство с кодом ExPetr.

Технические подробности

По нашим данным, программа-вымогатель распространятся посредством drive-by атаки. Дроппер вымогателя загружается с адреса hxxp://1dnscontrol[.]com/flash_install.php.

Жертвы перенаправляются на этот вредоносный ресурс с легитимных новостных сайтов.

Загруженный файл install_flash_player.exe жертва должна запустить вручную. Для правильной работы файлу требуются права администратора, которые он запрашивает через стандартное уведомление UAC. В случае запуска зловред сохраняет вредоносную DLL-библиотеку как C:Windowsinfpub.dat и запускает его через rundll32.

Псевдокод процедуры установки вредоносной DLL

По всей видимости, библиотека infpub.dat «брутфорсит» учетные данные NTLM к Windows-машинам с псевдослучайными IP-адресами.

Жестко прописанный список учетных данных

Библиотека infpub.dat также устанавливает вредоносный исполняемый файл dispci.exe в C:Windows и создает задачу для его запуска.

Псевдокод процедуры, создающей задачу запуска вредоносного исполняемого файла

Более того, infpub.dat действует как типичный шифровальщик-вымогатель: он находит данные жертвы по встроенному списку расширений и шифрует файлы публичным 2048-битным RSA-ключом, принадлежащим злоумышленникам.

Публичный ключ злоумышленников и список расширений

Параметры публичного ключа:

Public-Key: (2048 bit)
Modulus:
00:e5:c9:43:b9:51:6b:e6:c4:31:67:e7:de:42:55:
6f:65:c1:0a:d2:4e:2e:09:21:79:4a:43:a4:17:d0:
37:b5:1e:8e:ff:10:2d:f3:df:cf:56:1a:30:be:ed:
93:7c:14:d1:b2:70:6c:f3:78:5c:14:7f:21:8c:6d:
95:e4:5e:43:c5:71:68:4b:1a:53:a9:5b:11:e2:53:
a6:e4:a0:76:4b:c6:a9:e1:38:a7:1b:f1:8d:fd:25:
4d:04:5c:25:96:94:61:57:fb:d1:58:d9:8a:80:a2:
1d:44:eb:e4:1f:1c:80:2e:e2:72:52:e0:99:94:8a:
1a:27:9b:41:d1:89:00:4c:41:c4:c9:1b:0b:72:7b:
59:62:c7:70:1f:53:fe:36:65:e2:36:0d:8c:1f:99:
59:f5:b1:0e:93:b6:13:31:fc:15:28:da:ad:1d:a5:
f4:2c:93:b2:02:4c:78:35:1d:03:3c:e1:4b:0d:03:
8d:5b:d3:8e:85:94:a4:47:1d:d5:ec:f0:b7:43:6f:
47:1e:1c:a2:29:50:8f:26:c3:96:d6:5d:66:36:dc:
0b:ec:a5:fe:ee:47:cd:7b:40:9e:7c:1c:84:59:f4:
81:b7:5b:5b:92:f8:dd:78:fd:b1:06:73:e3:6f:71:
84:d4:60:3f:a0:67:06:8e:b5:dc:eb:05:7c:58:ab:
1f:61
Exponent: 65537 (0x10001)

style="font-family: Consolas,Monaco,monospace;">

Исполняемый файл dispci.exe, похоже, основан на коде легальной утилиты DiskCryptor. Он действует как модуль шифрования диска и параллельно устанавливает модифицированный загрузчик, блокируя нормальный процесс загрузки инфицированной системы.

В ходе анализа образцов этой угрозы мы отметили интересную деталь: по всей видимости, авторы вредоносной программы являются поклонниками «Игры престолов». Некоторые строки в коде представляют собой имена персонажей из этой вселенной.

Имена драконов из «Игры престолов»

Имена персонажей из «Игры престолов»

Схема шифрования

Как мы уже упоминали, вымогатель Bad Rabbit шифрует файлы и жесткий диск жертвы. Для файлов используются следующие алгоритмы:

  1. AES-128-CBC
  2. RSA-2048

Это типичная схема, используемая зловредами-вымогателями.

Интересно, что вымогатель перечисляет все запущенные процессы и сравнивает хэш от имени каждого процесса с имеющимся у него списком хэшей. При этом используемый алгоритм хэширования похож на тот, что использовался зловредом exPetr.

Сравнение процедур хэширования Bad Rabbit и ExPetr

Особая ветвь исполнения программы

Процедура инициализации флагов времени исполнения

Полный список хэшей от имен процессов:

Хэш Имя процесса
0x4A241C3E dwwatcher.exe
0x923CA517 McTray.exe
0x966D0415 dwarkdaemon.exe
0xAA331620 dwservice.exe
0xC8F10976 mfevtps.exe
0xE2517A14 dwengine.exe
0xE5A05A00 mcshield.exe

Разделы на жестком диске жертвы шифруются с помощью драйвера dcrypt.sys программы DiskCryptor (он загружается в C:Windowscscc.dat). Шифровальщик посылает этому драйверу необходимые IOCTL коды. Отдельные функции берутся «как есть» из исходников DiskCryptor (drv_ioctl.c), другие, как кажется, были добавлены разработчиками зловреда.

Разделы диска шифруются драйвером DiskCryptor с использованием AES в режиме XTS. Пароль генерируется dispci.exe с использованием функции WinAPI CryptGenRandom и имеет длину 32 символа.

Оценка возможности дешифрования

Наши данные свидетельствуют, что Bad rabbit, в отличие от ExPetr, не создавался как вайпер (о том, что создатели ExPetr технически не способны расшифровать MFT, зашифрованную с помощью GoldenEye, мы писали ранее). Алгоритм работы вредоносного ПО предполагает, что у злоумышленников, стоящих за Bad rabbit, есть необходимые средства для дешифровки.

Данные, которые отображаются на экране зараженной машины как «personal installation key#1», это зашифрованная RSA-2048 и закодированная base64 двоичная структура, которая содержит следующую информацию из зараженной системы:

Злоумышленники могут использовать свой секретный ключ RSA для расшифровки этой структуры и отправить пароль для расшифровки диска жертве.

Обратите внимание, что значение поля id, которое передается dispci.exe - просто 32-битное число, используемое чтобы различать зараженные компьютеры, а вовсе не ключ AES для шифрования диска, как говорилось в некоторых отчетах, опубликованных в интернете.

В процессе анализа мы под отладкой извлекли пароль, создаваемый вредоносным ПО, и попытались использовать его на заблокированной системе после перезагрузки - пароль подошел, и загрузка продолжилась.

К сожалению, расшифровать данные на дисках без ключа RSA-2048 злоумышленников невозможно: симметричные ключи безопасно генерируются на стороне зловреда, что на практике исключает возможность их подбора.

Однако мы обнаружили ошибку в коде dispci.exe: сгенерированный пароль не удаляется из памяти, что дает небольшой шанс на его извлечение до завершения процесса dispci.exe. На скриншоте ниже можно заметить, что, хотя переменная dc_pass (которая будет передана драйверу) будет безопасно стерта после использования, это не относится к переменной rand_str, которая содержит копию пароля.

Псевдокод процедуры, которая генерирует пароль и шифрует разделы диска

Шифрование файлов

Как мы уже писали, троянец использует типичную схему шифрования файлов. Он генерирует случайную строку длиной 32 байта и использует ее в алгоритме деривации ключа. К сожалению, при создании этой строки используется функция CryptGenRandom.

Алгоритм деривации ключа

Зашифрованный пароль вместе с информацией о зараженной системе записывается в файл Readme как «personal installation key#2».

Интересный факт: зловред не шифрует файлы с атрибутом «Только для чтения».

Возможность восстановления файлов

Мы обнаружили, что Bad Rabbit не удаляет теневые копии файлов после их шифрования. Это означает, что если служба теневого копирования была включена до заражения и полное шифрование диска по какой-то причине не произошло, жертва может восстановить зашифрованные файлы, используя стандартные средства Windows или сторонние утилиты.

Теневые копии, незатронутые Bad Rabbit

Эксперты «Лаборатории Касперского» подробно анализируют шифровальщик, чтобы найти возможные недостатки в его криптографических алгоритмах.

Корпоративным клиентам «Лаборатории Касперского» рекомендуется:

  • проверить, что все механизмы включены согласно рекомендациям; отдельно проследить, чтобы не были выключены компоненты KSN и «Мониторинг системы» (они активны по умолчанию);
  • оперативно обновить антивирусные базы.

Этого должно быть достаточно. Но в качестве дополнительных мер предосторожности мы советуем:

  • запретить в Kaspersky Endpoint Security выполнение файлов C:Windowsinfpub.dat и C:Windowscscc.dat.
  • настроить и включить режим «Запрет по умолчанию» в компоненте «Контроль запуска программ» в Kaspersky Endpoint Security.

Продукты «Лаборатории Касперского» определяют эту угрозу как:

  • Trojan-Ransom.Win32.Gen.ftl
  • Trojan-Ransom.Win32.BadRabbit
  • DangerousObject.Multi.Generic
  • PDM:Trojan.Win32.Generic
  • Intrusion.Win.CVE-2017-0147.sa.leak
IoC:

http://1dnscontrol[.]com/
— install_flash_player.exe
— C:Windowsinfpub.dat
— C:Windowsdispci.exe

style="font-family: Consolas,Monaco,monospace;">

Третья масштабная кибератака за год. На этот раз вирус с новым названием Bad Rabbit и старыми повадками — шифрование данных и вымогание денег за разблокировку. И в зоне поражения по прежнему Россия, Украина и некоторые другие страны СНГ.

Плохой Кролик действует по привычной схеме: присылает фишинговое письмо со вложенным вирусом или ссылкой. В частности, злоумышленники могут представляться техподдержкой Microsoft и попросить срочно открыть вложенный файл или пройти по ссылке. Есть и другой путь распространения — поддельное окно обновления Adobe Flash Player. В обоих случаях Bad Rabbit действует также, как и нашумевший не так давно , он шифрует данные жертвы и требует выкуп в размере 0,05 биткойна, что примерно $280 по курсу на 25 октября 2017 года. Жертвами новой эпидемии стали «Интерфакс», питерское издание «Фонтанка», киевский Метрополитен, одесский аэропорт и Министерство культуры Украины. Есть данные, что новый вирус пытался атаковать и несколько известных российских банков, но эта затея провалилась. Эксперты связывают Bad Rabbit с предыдущими крупными атаками, зафиксированными в этом году. Доказательством тому служит схожее ПО шифрования Diskcoder.D, а это тот самый шифровальщик Petya, только слегка видоизмененный.

Как защититься от Bad Rabbit?

Специалисты рекомендуют владельцам Windows компьютеров создать файл «infpub.dat» и поместить его в папку Windows на диске «C». В итоге путь должен выглядеть следующим образом: C:\windows\infpub.dat. Сделать это можно при помощи обычного блокнота, но с правами Администратора. Для этого находим ссылку на программу «Блокнот», кликаем правой кнопкой мышки и выбираем «Запуск от имени Администратора».

Дальше нужно просто сохранить этот файл по адресу C:\windows\, то есть в папку Windows на диске «C». Название файла: infpub.dat, при этом «dat» это расширение файла. Не забудьте заменить стандартное расширение блокнота «txt» на «dat». После того, как вы сохраните файл, откройте папку Windows, найдите созданный файл infpub.dat, нажмите на него правой кнопкой мыши и выберите пункт «Свойства», где в самом низу нужно поставить галочку «Только чтение». Таким образом даже если вы поймаете вирус Плохого Кролика, он не сможет зашифровать ваши данные.

Превентивные меры

Не забывайте, что оградить себя от любого вируса можно просто соблюдая определенные правила. Прозвучит банально, но никогда не открывайте письма и уже тем более их вложения, если адрес кажется вам подозрительным. Фишинговые письма, то есть маскирующиеся под другие сервисы, наиболее частый способ заражения. Внимательно следите за тем, что вы открываете. Если в письме вложенный файл называется «Важный документ.docx_______.exe» то открывать этот файл точно не следует. Кроме этого нужно иметь резервные копии важных файлов. Например семейный архив с фотографиями или рабочие документы можно продублировать на внешний диск или на облачное хранилище. Не забывайте, как важно использовать лицензионную версию Windows и регулярно устанавливать обновления. Патчи безопасности выпускаются Microsoft регулярно и те, кто их устанавливает не имеют проблем с подобными вирусами.

Приветствую Вас, дорогие посетители и гости данного блога! Сегодня в мире появился очередной вирус-шифровальщик по имени: «Bad Rabbit » — «Злобный кролик «. Это уже третий нашумевший шифровальщик за 2017 год. Предыдущие были и (он же NotPetya).

Bad Rabbit — Кто уже пострадал и много ли требует денег?

Пока что предположительно от этого шифровальщика пострадали несколько российских медиа - среди них Интерфакс и Фонтанка. Также о хакерской атаке - возможно, связанной с тем же Bad Rabbit, - сообщает аэропорт Одессы.

За расшифровку файлов злоумышленники требуют 0,05 биткойна, что по современному курсу примерно эквивалентно 283 долларам или 15 700 рублям.

Результаты исследования «Лаборатории Касперского» говорят о том, что в атаке не используются эксплойты. Bad Rabbit распространяется через зараженные веб-сайты: пользователи скачивают фальшивый установщик Adobe Flash, вручную запускают его и тем самым заражают свои компьютеры.

Как сообщает «Лаборатория Касперского» — эксперты расследуют эту атаку и ищут способы борьбы с ним, а так же ищут возможность дешифровки файлов, пострадавших от шифровальщика.

Большая часть пострадавших от атаки находятся в России. Так же известно, что похожие атаки происходят в Украине, Турции и Германии, но в гораздо меньшем количестве. Шифровальщик Bad Rabbit распространяется через ряд заражённых сайтов российских СМИ.

«Лаборатория Каперского» считает, что все признаки указывают на то, что это целенаправленная атака на корпоративные сети. Используются методы, похожие на те, что мы наблюдали в атаке ExPetr, однако связь с ExPetr мы подтвердить не можем.

Уже известно, что продукты «Лаборатории Касперского» детектируют один из компонентов зловреда с помощью облачного сервиса Kaspersky Security Network как UDS:DangerousObject.Multi.Generic, а также с помощью System Watcher как PDM:Trojan.Win32.Generic.

Как защитить себя от вируса Bad Rabbit?

Чтобы не стать жертвой новой эпидемии «Плохого кролика», «Лаборатория Касперского » рекомендуем сделать следующее:

Если у вас установлен Антивирус Касперского, то:

  • Проверьте, включены ли в вашем защитном решении компоненты Kaspersky Security Network и «Мониторинг активности» (он же System Watcher). Если нет - обязательно включите.

Для тех, у кого нет данного продукта:

  • Заблокируйте исполнение файла c:\windows\infpub.dat, C:\Windows\cscc.dat. Это можно сделать через .
  • Запретите (если это возможно) использование сервиса WMI.

Еще очень важный совет от меня:

Всегда делайте backup (бекап — резервная копия ) важных Вам файлов. На съемном носителе, в облачных сервисах! Это сбережет ваши нервы, деньги и время!

Желаю вам не подхватит эту заразу к себе на ПК. Чистого и безопасного Вам интернета!

Вирус-шифровальщик, известный как Bad Rabbit, атаковал десятки тысяч компьютеров на Украине, в Турции и Германии. Но больше всего атак пришлось на Россию. Что это за вирус и как защитить свой компьютер, рассказываем в нашей рубрике "Вопрос-ответ".

Кто пострадал в России от Bad Rabbit?

Вирус-шифровальщик Bad Rabbit начал распространяться 24 октября. В числе пострадавших от его действия значатся информагентство "Интерфакс", издание "Фонтанка.ру".

Также от действий хакеров пострадали метрополитен Киева и аэропорт Одессы. После стало известно о попытке взлома системы нескольких российских банков из топ-20.

По всем признакам это целенаправленная атака на корпоративные сети, поскольку используются методы, похожие на те, что наблюдались при атаке вируса ExPetr.

Новый вирус всем предъявляет одно требование: выкуп 0,05 биткоина. В пересчете на рубли это около 16 тысяч рублей. При этом он сообщает, что время на исполнение этого требования ограничено. На все про все дается чуть больше 40 часов. Далее плата за выкуп повысится.

Что это за вирус и как он работает?

Удалось уже выяснить, кто стоит за его распространением?

Выяснить, кто стоит за этой атакой, пока не удалось. Расследование только привело программистов к доменному имени.

Специалисты антивирусных компаний отмечают сходство нового вируса с вирусом Petya.

Но, в отличие от прошлых вирусов этого года, в этот раз хакеры решили пойти простым путем, сообщает 1tv.ru .

"По-видимому, преступники ожидали, что в большинстве компаний пользователи обновят свои компьютеры после двух этих атак, и решили испробовать достаточно дешевое средство - социальную инженерию, чтобы первое время относительно незаметно заражать пользователей", – сообщил руководитель отдела антивирусных исследований "Лаборатории Касперского" Вячеслав Закоржевский.

Как защитить свой компьютер от вируса?

Обязательно сделайте резервную копию вашей системы. Если вы используете для защиты Касперский, ESET, Dr.Web либо другие популярные аналоги, следует оперативно обновить базы данных. Также для Касперского необходимо включить "Мониторинг активности" (System Watcher), а в ESET применить сигнатуры с обновлением 16295, информирует talkdevice .

Если у вас нет антивирусников, заблокируйте исполнение файлов C:\Windows\infpub.dat и C:\Windows\cscc.dat. Делается это через редактор групповых политик либо программу AppLocker для Windows.

Запретите выполнение службы - Windows Management Instrumentation (WMI). Через правую кнопку войдите в свойства службы и выберите в "Тип запуска" режим "Отключена".