Просмотры: 786
25.10.2017
Согласно отчету Check Point Software Technologies, 24 октября 2017 года российские СМИ и украинские государственные учреждения пострадали от кибератак нового вида вымогателя BadRabbit. Среди других жертв оказались Турция и Болгария.
Вымогатель Bad Rabbit требует от жертв выкуп в размере 0,05 биткоинов (около 280 долл. США) за первые 40 часов заражения, после чего цена, вероятно, будет расти до неизвестных пределов.
Шифровальщик распространяется через фальшивый установщик программного обеспечения Flash, который, как утверждается, появляется как всплывающее окно с официального сайта новостей в России. При нажатии всплывающее окно переадресует жертву на вредоносный сайт, который, в свою очередь, загружает исполняемый дроппер (программу для скрытой установки вредоносного ПО на компьютер жертвы).
Вымогатель использует известное программное обеспечение с открытым кодом под названием DiskCryptor (https://github.com/smartinm/diskcryptor) для шифрования дисков жертвы. Экран сообщения о блокировке, который видит пользователь, почти идентичен экранам блокировки Petya и NotPetya. Тем не менее, это единственное сходство, которое мы наблюдали до сих пор между двумя зловредами, во всех других аспектах BadRabbit — совершенно новый и уникальный вид вымогателя.
После успешного заражения вымогатель создает уникальный ключ для каждой жертвы, который виден в файле READ ME.txt, там же указан сайт оплаты, размещенный в Tor.
При вводе пользовательского ключа на сайте оплаты каждый пользователь получает уникальный биткойн-кошелек, на который просят перевести 0,05 биткоина.
Технические подробности действия Bad Rabbit доступны здесь: https://blog.checkpoint.com/2017/10/24/bad-rabbit-new-ransomware-outbreak-targeting-ukraine-russia/
Форматы файлов, которые шифрует Bad Rabbit: 3ds; 7z; accdb; ai; asm; asp; aspx; avhd; back; bak; bmp; brw; c; cab; cc; cer; cfg; conf; cpp; crt; cs; ctl; cxx; dbf; der; dib; disk; djvu; doc; docx; dwg; eml; fdb; gz; h; hdd; hpp; hxx; iso; java; jfif; jpe; jpeg; jpg; js; kdbx; key; mail; mdb; msg; nrg; odc; odf; odg; odi; odm; odp; ods; odt; ora; ost; ova; ovf; p12; p7b; p7c; pdf; pem; pfx; php; pmf; png; ppt; pptx; ps1; pst; pvi; py; pyc; pyw; qcow; qcow2; rar; rb; rtf; scm; sln; sql; tar; tib; tif; tiff; vb; vbox; vbs; vcb; vdi; vfd; vhd; vhdx; vmc; vmdk; vmsd; vmtm; vmx; vsdx; vsv; work; xls; xlsx; xml; xvd; zip.
Как в случае с WannaCry и Petya, атака Bad Rabbit могла быть предотвращена. От угрозы защищены заказчики Check Point, использующие следующие продукты: Check Point Threat Emulation blade; Check Point Anti-Virus blade.
Шифровальщик распространяется через фальшивый установщик программного обеспечения Flash, который, как утверждается, появляется как всплывающее окно с официального сайта новостей в России. При нажатии всплывающее окно переадресует жертву на вредоносный сайт, который, в свою очередь, загружает исполняемый дроппер (программу для скрытой установки вредоносного ПО на компьютер жертвы).
Вымогатель использует известное программное обеспечение с открытым кодом под названием DiskCryptor (https://github.com/smartinm/diskcryptor) для шифрования дисков жертвы. Экран сообщения о блокировке, который видит пользователь, почти идентичен экранам блокировки Petya и NotPetya. Тем не менее, это единственное сходство, которое мы наблюдали до сих пор между двумя зловредами, во всех других аспектах BadRabbit — совершенно новый и уникальный вид вымогателя.
После успешного заражения вымогатель создает уникальный ключ для каждой жертвы, который виден в файле READ ME.txt, там же указан сайт оплаты, размещенный в Tor.
При вводе пользовательского ключа на сайте оплаты каждый пользователь получает уникальный биткойн-кошелек, на который просят перевести 0,05 биткоина.
Технические подробности действия Bad Rabbit доступны здесь: https://blog.checkpoint.com/2017/10/24/bad-rabbit-new-ransomware-outbreak-targeting-ukraine-russia/
Форматы файлов, которые шифрует Bad Rabbit: 3ds; 7z; accdb; ai; asm; asp; aspx; avhd; back; bak; bmp; brw; c; cab; cc; cer; cfg; conf; cpp; crt; cs; ctl; cxx; dbf; der; dib; disk; djvu; doc; docx; dwg; eml; fdb; gz; h; hdd; hpp; hxx; iso; java; jfif; jpe; jpeg; jpg; js; kdbx; key; mail; mdb; msg; nrg; odc; odf; odg; odi; odm; odp; ods; odt; ora; ost; ova; ovf; p12; p7b; p7c; pdf; pem; pfx; php; pmf; png; ppt; pptx; ps1; pst; pvi; py; pyc; pyw; qcow; qcow2; rar; rb; rtf; scm; sln; sql; tar; tib; tif; tiff; vb; vbox; vbs; vcb; vdi; vfd; vhd; vhdx; vmc; vmdk; vmsd; vmtm; vmx; vsdx; vsv; work; xls; xlsx; xml; xvd; zip.
Как в случае с WannaCry и Petya, атака Bad Rabbit могла быть предотвращена. От угрозы защищены заказчики Check Point, использующие следующие продукты: Check Point Threat Emulation blade; Check Point Anti-Virus blade.
Комментарии читателей