Kaspersky Lab - Vislabākā aizsardzība!
Sākumlapa » Apdraudējumi » Notiek jauna izspiedējvīrusa Bad Rabbit uzbrukums (papildināts)

Notiek jauna izspiedējvīrusa Bad Rabbit uzbrukums (papildināts)

Šogad mēs jau piedzīvojām skaļus incidentus ar ļaunprogrammām WannaCry un ExPetr/NotPetya un šķiet, ka ir sācies trešais šāda līmeņa incidents. Šoreiz Windows šifrētāju sauc Bad Rabbit – vismaz tāds vārds ir uzrakstīts pagrīdes lapā, uz kuru tiek novirzīti izspiedējvīrusa upuri.

 

 

Tiek ziņots, ka izspiedējvīruss izplatījies Krievijā, Ukrainā, Bulgārijā, Turcijā un Vācijā. Cietusi ir Odesas lidosta, Kijevas metro sistēma, Krievijas Infrastruktūras ministrija un ziņu aģentūras Interfax un Fontanka. Par nopietnām problēmām ziņoja arī “Новая газета — Балтия” (http://novayagazeta.ee/), bet tās vietne jau ir atgriezusies tiešsaistē.

Kā ziņo Kaspersky Lab Globālās analīzes un izpētes komandas direktors Kostins Raiju, uzbrukums varētu gatavots vismaz kopš šī gada jūlija, uzlaužot un sagatavojot vietņu tīklu infekcijas izplatīšanai.

 

Bad Rabbit sākotnējā izplatīšanās notiek, lietotājam apmeklējot vietni, no kuras tam tiek piedāvāts Adobe Flash instalators, kas jāpalaiž manuāli. Tālāk korporatīvajos tīklos tas izplatās ar metodēm, par kurām pagaidām ir atšķirīga informācija.

 

Bad Rabbit paziņojums pēc datu nošifrēšanas un datora restarta.

Bad Rabbit paziņojums pēc datu nošifrēšanas un datora restarta.

Jaunais šifrētājs šifrē failus, aizstāj MBR un pēc datora restarta paliek uz izpirkuma maksas pieprasījuma 0.05 bitmonētu apmērā, dodot zināmu laiku pirms summas paaugstināšanas.

 

Pašā uzbrukuma sākumā tikai daži antivīrusu skeneri detektēja apdraudējumu.

Pašā uzbrukuma sākumā tikai daži antivīrusu skeneri detektēja apdraudējumu.

Kaspersky Lab produkti detektē Bad Rabbit kā UDS:DangerousObject.Multi.Generic (ar mākoņservisu Kaspersky Security Network), kā PDM:Trojan.Win32.Generic (ar System Watcher), un arī kā Trojan-Ransom.Win32.Gen.ftl. Saviem lietotājiem Kaspersky Lab iesaka pārliecināties vai visi aizsardzības mehānismi ir iespējoti un Kaspersky Security Network (KSN) un System Watcher ir ieslēgti (pēc noklusējuma ir ieslēgti).

 

 

Sīkākas tehniskās detaļas par Bad Rabbit šobrīd var atrast Bleeping Computer un Securelist vietnēs.

 

Papildināts ar informāciju no Kaspersky Lab 28.10.2017

  • Kaspersky Lab pētnieki ir noskaidrojuši, ka izspiedējvīrusa Bad Rabbit uzbrukumam ir skaidra saikne ar ExPetr uzbrukumu, kas notika šā gada jūnijā.
  • Viņu veiktā analīze liecina, ka Bad Rabbit uzbrukumā izmantotais jaucējalgoritms ir tāds pats kā ExPetr izmantotais. Turklāt eksperti ir atklājuši, ka abi uzbrukumi izmanto vienus un tos pašus domēnus; un līdzības attiecīgajos pirmkodos norāda, ka jaunais uzbrukums ir saistīts ar ExPetr veidotājiem.
  • Tāpat kā ExPetr izspiedējvīruss Bad Rabbit cenšas sagrābt akreditācijas datus no sistēmas atmiņas un izplatīties uzņēmuma tīklā ar Windows pārvaldības instrumentācijas komandrindu (WMIC).
  • Izmeklēšanā atklājies, ka uzbrucēji ir gatavojušies šai operācijai vismaz kopš 2017. gada jūlija, veidojot inficēšanas tīklu uzlauztajās vietnēs, kas galvenokārt ir plašsaziņas līdzekļu un ziņu informācijas resursi.
  • Kaspersky Lab pētījumā konstatēts, ka Bad Rabbit sasniedza gandrīz 200 mērķu, kas atrodas Krievijā, Ukrainā, Turcijā un Vācijā. Visi uzbrukumi notika 24. oktobrī, un kopš tā laika nav novēroti jauni uzbrukumi. Pētnieki norāda, ka, tiklīdz infekcija kļuva plašāk izplatīta un drošības uzņēmumi sāka izmeklēšanu, uzbrucēji nekavējoties izdzēsa ļaunprātīgo kodu, ko bija pievienojuši uzlauztajās tīmekļa vietnēs.
  • Kaspersky Lab eksperti turpina analizēt Bad Rabbit, lai atrastu varbūtējās kļūdas tā kriptogrāfijas programmās.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

36 − = 29

Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Uz augšu