Bad Rabbit: новая эпидемия шифровальщика

Bad Rabbit: новая эпидемия шифровальщика

Bad Rabbit: новая эпидемия шифровальщика

Защита информации \\ 27.10.2017 14:07

В 2017 году уже было зафиксировано две крупнейших эпидемии шифровальщиков — мы говорим про здорово нашумевшие WannaCry и ExPetr (он же Petya и одновременно NotPetya) — а теперь, похоже, начинается третья. На этот раз шифровальщика зовут Bad Rabbit — по крайней мере такое имя написано на странице в даркнете, на которую его создатели отправляют за выяснением деталей.

Пока что предположительно от этого шифровальщика пострадали несколько российских медиа — среди них Интерфакс и Фонтанка. Также о хакерской атаке — возможно, связанной с тем же Bad Rabbit, — сообщает аэропорт Одессы.

За расшифровку файлов злоумышленники требуют 0,05 биткойна, что по современному курсу примерно эквивалентно 283 долларам или 15 700 рублям.

Результаты нашего исследования говорят о том, что Bad Rabbit распространяется через зараженные веб-сайты: пользователи скачивают фальшивый установщик Adobe Flash, вручную запускают его и тем самым заражают свои компьютеры. Наши эксперты обнаружили несколько сайтов, распространяющих данного зловреда, все они принадлежат к категории СМИ.

Большинство жертв атаки находятся в России. Также мы наблюдаем похожие атаки в Украине, Турции и Германии, но в значительно меньшем количестве. Зловред распространяется через ряд заражённых сайтов российских СМИ. Все признаки указывают на то, что это целенаправленная атака на корпоративные сети. Используются методы, похожие на те, что мы наблюдали в атаке ExPetr.

К настоящему моменту эксперты «Лаборатории Касперского» собрали достаточно данных, чтобы связать атаку Bad Rabbit и эпидемию зловреда ExPetr, случившуюся в июне этого года. По нашим данным, часть кода, использованная в Bad Rabbit, в свое время засветилась и в ExPetr. Также схож список сайтов, использованных для распространения зловредов (часть сайтов была взломана еще в июне, но не задействовалась в атаке), совпадают и техники распространения – оба зловреда использовали для расселения по корпоративным сетям Windows Management Instrumentation Command-line (WMIC). Однако есть и различия: в отличие от ExPetr, Bad Rabbit не полагается на эксплойт Eternal Blue – ну или на какой-нибудь другой эксплойт.

Наши эксперты считают, что за ExPetr и Bad Rabbit стоит одна и та же кибергруппировка и что эта группировка готовила атаку Bad Rabbit как минимум с июля 2017-го. Однако, в отличие от ExPetr, Bad Rabbit, похоже, является не вайпером, а шифровальщиком. Он шифрует определенные типы файлов на диске и затем подменяет загрузчик, не позволяя нормально загрузить компьютер. То, что Bad Rabbit — это не вайпер, означает, что у злоумышленников хотя бы потенциально есть возможность расшифровать пароль, который, в свою очередь, используется для расшифровки файлов и нормальной загрузки операционной системы.

К сожалению, наши эксперты пришли к выводу, что на данный момент нет способа вернуть файлы, не имея на руках ключа шифрования. Мы продолжаем изучать зловреда. Больше технических деталей можно найти в публикации на Securelist (English).

Уже известно, что продукты «Лаборатории Касперского» детектируют один из компонентов зловреда как UDS:DangerousObject.Multi.Generic (с помощью облачного сервиса Kaspersky Security Network), как PDM:Trojan.Win32.Generic (с помощью System Watcher), а также как Trojan—Ransom.Win32.Gen.ftl.

 

Чтобы не стать жертвой новой эпидемии «Плохого кролика», рекомендуем сделать следующее:

Для пользователей защитных решений «Лаборатории Касперского»:

  • Проверьте, включены ли в вашем защитном решении компоненты Kaspersky Security Network и «Мониторинг активности» (он же System Watcher). Если нет — обязательно включите.

Для тех, кто не пользуется защитными решениями «Лаборатории Касперского»:

  • Заблокируйте исполнение файла c:\windows\infpub.dat, C:\Windows\cscc.dat.
  • Запретите (если это возможно) использование сервиса WMI.
 

Для всех:

  • Сделайте бэкап.
  • Не платите выкуп.

 

https://www.kaspersky.ru/blog/bad-rabbit-ransomware/19072/

Статьи Защита информации

Сложные пароли не должны быть трудными для запоминания

Сложные пароли не должны быть трудными для запоминания

Защита информации \\ 03.10.2017 16:10 \\ Комментарии()

Билл Бёрр – человек, занимающийся общими правилами по созданию сложных паролей, которые, по его мнению, должны обязательно сочетать буквенно-цифровые символы и чередовать прописные и строчные буквы, - признал свою ошибку. По словам Бюрра, эти правила «сводят людей с ума», при этом не обязательно, что пароли получатся сильными.

Хакеры похищают телефонные номера и «угоняют» Bitcoin-адреса

Хакеры похищают телефонные номера и «угоняют» Bitcoin-адреса

Защита информации \\ 23.08.2017 15:04 \\ Комментарии()

Среди жертв хакеров числятся многие эксперты Bitcoin-сообщества.

Кибербезопасность в промышленной автоматизации

Защита информации \\ 15.08.2017 12:38 \\ Комментарии()

Автор: Чертков Андрей Анатольевич, руководитель группы технической поддержки, отдел маркетинга и технической поддержки, подразделение "Промышленная Автоматизация", email^ andrei.chertkov@schneider-electric.com Новый виток развития средств промышленной автоматизации существенно обострил проблему обеспечения кибербезопасности предприятий. Собственники производств в ряде отраслей пока только начинают осознавать значимость проблемы и масштаб возможных потерь. Однако эксперты убеждены, что в ближайшем будущем рост числа кибератак заставит пользователей систем автоматизации более взвешенно и комплексно подходить к вопросам защиты своих активов от этой категории рисков.

Советы по безопасности смартфонов

Советы по безопасности смартфонов

Защита информации \\ 21.07.2017 14:17 \\ Комментарии()

Современные смартфоны способны выполнять намного больше задач, чем несколько лет назад мобильные телефоны. Однако значительно расширенный диапазон возможностей означает и появление новых рисков.

Wanna Cry не страшен для ПЦН "АНГАР-А".

Wanna Cry не страшен для ПЦН "АНГАР-А".

Защита информации \\ 15.05.2017 16:49 \\ ООО "Ангарейон-СБ" \\ Комментарии()

Мультиформатный ПЦН "АНГАР-А" полностью защищен не только от Wanna Cry, но и любых других вирусных угроз.

Программно-технические методы анонимизации в сети интернет

Программно-технические методы анонимизации в сети интернет

Защита информации \\ 01.04.2014 22:39 \\ itzashita.ru - Блог по информационной безопасности \\ Комментарии()

В последнее время наметилась тенденция по ограничению приватности в сети Интернет. Это связано с ограничениями, которое налагает на пользователя государственное регулирование сети Интернет. Государственное регулирование Интернет существует во многих странах (Китай, Россия, Беларусь).

Эксперты ассоциации RISSPA провели первую встречу в Санкт-Петербурге

Защита информации \\ 26.11.2013 20:42 \\ info@b2blogger.com \\ Комментарии()

22 ноября 2013 года в Санкт-Петербурге состоялась первая встреча экспертов ассоциации профессионалов в области информационной безопасности RISSPA.

Спасайте Ваши денежки, да и домены тоже. Китайцы идут. Мошенничество и аферы в Интернете.

Защита информации \\ 31.07.2012 19:54 \\ itzashita.ru - Блог по информационной безопасности \\ Комментарии()

Афера "Asia Domain Name Registration scam" в Рунете! Вы зарегистрировали или купили домен и создали на нем сайт. Годы идут, сайт развивается, становится популярным. Вот уже и доход с него "закапал". Вы получаете свой доход, оплачиваете домен, хостинг и другие расходы...

Съем информации через WIFI

Защита информации \\ 23.06.2012 03:05 \\ Егор Ершов \\ Комментарии()

Мы уже не раз на своем сайте ZhukovZdes.Net обсуждали тему прослушивания и подглядывания через стены. Детально рассказывали и о направленных микрофонах, работающих по прямой видимости и о радиостетоскопах, в народе называемых вибродатчиками, контактными приборами, касались и лазерных микрофонов, снимающих вибрацию со стекол.

Книги

Системы охранной, пожарной и охранно-пожарной сигнализации

ISBN: 978-5-7695-6218-1
Год: 2010 (май)
Страниц: 512

 

 

Учебное пособие представляет собой 5-е издание, дополненное и переработанное. Книга незаменима при обучении специалистов по монтажу любых видов сигнализаций: пожарных, охранных и охранно-пожарных. Представлены также общие сведения об организации охраны на объекте.

Технические средства охраны

Системы охранной сигнализации: основы теории и принципы построения

ISBN: 978-5-9912-0025-7
Год: 2008
Страниц: 496

 

Учебное пособие поможет при прохождении теоретических курсов специалистами в области охраны. Здесь есть всё об эксплуатации технических средств охраны. Это второе, дополненное издание, созданное на основе лекций.

Технические средства охраны

Системы контроля и управления доступом

Год: 2010
Страниц: 272

 

Книга адресована широкому кругу лиц, занятых в области службы безопасности на различного уровня объектах. Прилагается перечень нормативных материалов.

 

Технические средства охраны

вверх