Bad Rabbit uderzył w Ukrainę i szyfruje pliki jak leci. Jak się zabezpieczyć?

Czy to przed tym atakiem ostrzegała Służba BezpieczeństwaUkrainy, czy to jego powstrzymaniem chwaliłsię minister Antonii Macierewicz? Nowa odmiana ransomware, któraotrzymała nazwę Bad Rabbit, sieje spustoszenie na Ukrainie, gdziedoprowadziła już do sparaliżowania lotniska w Odessie, metra wKijowie i sieci informatycznej ministerstwa infrastruktury.

Ukraiński CERT ostrzegaprzed nową falą cyberataków i wzywa do wzmożonej czujnościoperatorów systemów telekomunikacyjnych i baz danych, szczególniew infrastrukturze transportowej, jak również zwykłychużytkowników. Brak czujności może być w tym wypadku naprawdębolesny.

Nośnikiem infekcji jest fałszywa aktualizacja Flash Playera,rozpowszechniana przez liczne przejęte przez napastników witrynyinternetowe, głównie w domenach .ua i .ru. Po zainstalowaniu„aktualizacji”, uruchamia ona popularne narzędzie Mimikatzdo wydobycia z pamięci komputera loginów i haseł, a następniewykorzystuje je do uzyskania dostępu do komputerów w sieci lokalnej(po protokole SMB). Niektórzy badacze donoszą też, że próbujewykorzystać exploit EternalBlue, podobnie jak słynne ransomwareWannaCry. Trend Micro informuje,że zdalna instalacja przeprowadzana jest za pomocą WindowsManagement Instrumentation (WMI) oraz Service Control Manager RemoteProtocol, wspieranych atakiem słownikowym.

Jednocześnie z szyfrowaniem zasobów w sieci, Bad Rabbitrozpoczyna szyfrowanie plików użytkownika. Ze wstępnych analizwynika, że nie jest wybredny, szyfruje (za pomocą AES-128-CBC) taksamo archiwa 7z jak i pliki docx czy kod źródłowy Javy. Cociekawe, wykorzystujew tym celu podpisany program DiscCryptor. Sprytnie – sterowniki używaneprzez DiskCryptora są podpisane w ramach oficjalnego programuMicrosoftu. Jednocześnie Bad Rabbit usuwa logi systemowe i kronikęsystemu plików, by utrudnić rozpoznanie ataku i przywrócenieplików.

Następnie dochodzi do modyfikacji rekordu rozruchowego (MBR)dysku i zrestartowania komputer. Wskutek tej zmiany użytkownikzamiast zobaczyć windowsowy pulpit, zobaczy jedynie czerwone napisyna czarnym tle, informujące o zaszyfrowaniu komputera i możliwościwykupienia usługi deszyfracji za jedyne 0,05 BTC, tj. około 800 zł– przynajmniej na początku. Licznik na stronie do opłacenia okupu odmierza czas, przypominającże cena usługi pójdzie w górę.

ESET na łamach swojego bloga WeLiveSecurity zauważa,że mimo że większość (65%) alarmów o pojawieniu się Dropperapochodzi z Rosji, to Ukraina, z której pochodzi 12,2% alarmów,oberwała najbardziej. Odnotowano też wystąpienia w Bułgarii,Turcji i Japonii. Avast zaś donosi, że ransomware zaobserwowałoteż w Stanach Zjednoczonych, Korei Południowej i Polsce.

Kaspersky Lab informuje jednak, że i w Rosji nie jest lekko: BadRabbit miał już zainfekować wiele popularnych rosyjskich firmmediowych, wśród nich znalazła się agencja prasowa Interfax orazredakcja petersburskiej gazety Fontanka.ru. Kto za tą operacjąfaktycznie stoi – tego jeszcze nikt nie jest w stanie powiedzieć.

Oprócz standardowych porad w rodzaju unikania podejrzanychwitryny, instalowania podejrzanego oprogramowania, aktualizacjisystemu i baz programów antywirusowych, mamy też kilka innychwskazówek.

• Na stronie Alien Vault pojawiła się już lista\twskaźników(https://otx.alienvault.com/pulse/59ef5e053db003162704fcb2/) zainfekowania systemu, warto się jej przyjrzeć. \t
• Znakiem tego, że dzieje się coś złego może być też\tpojawienie się połączeń z domeną 1dnscontrol.com lub\tcaforssztxqzf2nm.onion w sieci Tor.
• Kaspersky Lab twierdzi, że powstrzymać Bad Rabbita przed\turuchomieniem można blokując dostęp do plików\tC:\Windows\infpub.dat oraz C:\Windows\cscc.dat. \t