r   e   k   l   a   m   a
r   e   k   l   a   m   a

Bad Rabbit uderzył w Ukrainę i szyfruje pliki jak leci. Jak się zabezpieczyć?

Strona główna AktualnościBEZPIECZEŃSTWO

Czy to przed tym atakiem ostrzegała Służba Bezpieczeństwa Ukrainy, czy to jego powstrzymaniem chwalił się minister Antonii Macierewicz? Nowa odmiana ransomware, która otrzymała nazwę Bad Rabbit, sieje spustoszenie na Ukrainie, gdzie doprowadziła już do sparaliżowania lotniska w Odessie, metra w Kijowie i sieci informatycznej ministerstwa infrastruktury.

Ukraiński CERT ostrzega przed nową falą cyberataków i wzywa do wzmożonej czujności operatorów systemów telekomunikacyjnych i baz danych, szczególnie w infrastrukturze transportowej, jak również zwykłych użytkowników. Brak czujności może być w tym wypadku naprawdę bolesny.

Nośnikiem infekcji jest fałszywa aktualizacja Flash Playera, rozpowszechniana przez liczne przejęte przez napastników witryny internetowe, głównie w domenach .ua i .ru. Po zainstalowaniu „aktualizacji”, uruchamia ona popularne narzędzie Mimikatz do wydobycia z pamięci komputera loginów i haseł, a następnie wykorzystuje je do uzyskania dostępu do komputerów w sieci lokalnej (po protokole SMB). Niektórzy badacze donoszą też, że próbuje wykorzystać exploit EternalBlue, podobnie jak słynne ransomware WannaCry. Trend Micro informuje, że zdalna instalacja przeprowadzana jest za pomocą Windows Management Instrumentation (WMI) oraz Service Control Manager Remote Protocol, wspieranych atakiem słownikowym.

r   e   k   l   a   m   a

Jednocześnie z szyfrowaniem zasobów w sieci, Bad Rabbit rozpoczyna szyfrowanie plików użytkownika. Ze wstępnych analiz wynika, że nie jest wybredny, szyfruje (za pomocą AES-128-CBC) tak samo archiwa 7z jak i pliki docx czy kod źródłowy Javy. Co ciekawe, wykorzystuje w tym celu podpisany program DiscCryptor. Sprytnie – sterowniki używane przez DiskCryptora są podpisane w ramach oficjalnego programu Microsoftu. Jednocześnie Bad Rabbit usuwa logi systemowe i kronikę systemu plików, by utrudnić rozpoznanie ataku i przywrócenie plików.

Następnie dochodzi do modyfikacji rekordu rozruchowego (MBR) dysku i zrestartowania komputer. Wskutek tej zmiany użytkownik zamiast zobaczyć windowsowy pulpit, zobaczy jedynie czerwone napisy na czarnym tle, informujące o zaszyfrowaniu komputera i możliwości wykupienia usługi deszyfracji za jedyne 0,05 BTC, tj. około 800 zł – przynajmniej na początku. Licznik na stronie do opłacenia okupu odmierza czas, przypominając że cena usługi pójdzie w górę.

ESET na łamach swojego bloga WeLiveSecurity zauważa, że mimo że większość (65%) alarmów o pojawieniu się Droppera pochodzi z Rosji, to Ukraina, z której pochodzi 12,2% alarmów, oberwała najbardziej. Odnotowano też wystąpienia w Bułgarii, Turcji i Japonii. Avast zaś donosi, że ransomware zaobserwowało też w Stanach Zjednoczonych, Korei Południowej i Polsce.

Kaspersky Lab informuje jednak, że i w Rosji nie jest lekko: Bad Rabbit miał już zainfekować wiele popularnych rosyjskich firm mediowych, wśród nich znalazła się agencja prasowa Interfax oraz redakcja petersburskiej gazety Fontanka.ru. Kto za tą operacją faktycznie stoi – tego jeszcze nikt nie jest w stanie powiedzieć.

Jak się zabezpieczyć?

Oprócz standardowych porad w rodzaju unikania podejrzanych witryny, instalowania podejrzanego oprogramowania, aktualizacji systemu i baz programów antywirusowych, mamy też kilka innych wskazówek.

  • Na stronie Alien Vault pojawiła się już lista wskaźników zainfekowania systemu, warto się jej przyjrzeć.
  • Znakiem tego, że dzieje się coś złego może być też pojawienie się połączeń z domeną 1dnscontrol.com lub caforssztxqzf2nm.onion w sieci Tor.
  • Kaspersky Lab twierdzi, że powstrzymać Bad Rabbita przed uruchomieniem można blokując dostęp do plików C:\Windows\infpub.dat oraz C:\Windows\cscc.dat.
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.