Новый вирус-шифровальщик Bad Rabbit
По последним данным, из наиболее крупных организаций пострадали агентство «Интерфакс», новостной портал «Фонтанка», а после обеда в этот же день инфекция проявилась и на Украине. В частности Киевский метрополитен и Одесский аэропорт. Волной зацепило Турцию и Германию.
Наученные горьким опытом и прошлыми потерями от достаточно нашумевших WannaCry и Petya, известные лаборатории постарались как можно быстрее выяснить что это за кролик и как он работает. Достаточно скоро стало известно более подробно про свойства «плохого кролика» и как можно побороть ушастого.
Мы выяснили все подробности и спешим вас просветить насчет возможностей защиты.
Что такое Bad Rabbit?
Для начала краткий экскурс в работу Bad Rabbit
Этот шифровальщик не что иное, как новая версия Пети. Он содержит частично то же программное обеспечение, что и Petya, задействованный в кибератаке в июне этого года.
Под видом обновления плагина Adobe Flash и распространялся Bad Rabbit. Пользователь сам одобрял установку обновления и собственноручно заражал свой компьютер. При этом, никакие уязвимости шифровальщик не использовал. Пользователь сам запускал файл. Ну а как только злосчастный кролик попадает в локальную сеть, он крадет из памяти логины и пароли и может беспрепятственно устанавливаться на другие компьютеры.
Основное: «как защититься от вируса Bad rabbit и избежать?»
Компаниям и производствам необходимо заблокировать домен 1dnscontrol.com. Он имеет IP 5.61.37.209, с этим доменным именем и IP-адресом связаны следующие ресурсы: webcheck01.net, webdefense1.net, secure-check.host, firewebmail.com, secureinbox.email, secure-dns1.net. Заблокировав доступ на эти ресурсы для пользователей корпоративных сетей вы себя обезопасите. Обязательно изолировать из сети компьютеры, которые были замечены в рассылке вредоносных файлов.
Домашним пользователям нужно обновить Windows и антивирус. Тогда файл с содержанием кролика будет определяться как вредоносный.
«Лаборатория Касперского» специально подготовила рекомендации для тех, кто хочет избежать новой эпидемии. Производитель антивирусов посоветовал всем сделать бэкап (резервное копирование). Кроме того, компания рекомендовала заблокировать исполнение файла c:\windows\infpub.dat, C:\Windows\cscc.dat, а также, если возможно, запретить использование сервиса WMI.
Group-IB рекомендует запретить хранение паролей в LSA Dump в открытом виде, сменить все пароли на более сложные и поставить блокировку всплывающих окон.
Нас бьют, а мы крепчаем! Результаты.
Кибератаки уже настолько часто стали атаковать, что, закаленные в боях с предыдущими шифровальщиками, специалисты антивирусных лабораторий и международных компаний по предотвращению и расследований киберпреступлений и мошенничеств все быстрее и качественнее расследуют и находят решения по защите и противостоянию.
По последним данным, активное распространение вируса остановилось, домен, через который шло распространение, не отвечает.
Однако, лучше не попадаться на удочку шифровальщиков и держать свои компьютеры и сервера в строгости и защищенности. Есть несколько мнений по поводу смысла работы троицы шифровальщиков и не прикрытие ли это.
-
Саботировать работу компаний и заблокировать работу жизненно важных систем страны.
-
Пиар-акция хакеров
-
Сбор данных компаний для влияния на эти компании в будущем.
Уделяйте кибербезопасности своей компании большее внимание, чем сейчас. От безопасности зависит работа всего предприятия.