В киберполиции рассказали о последствиях вируса BadRabbit для Украины

Опубликовано: Среда, 25 октября 2017 20:29

Киберполиция сообщила, что Украина пострадала от вируса-шифровальщика BadRabbit меньше других подвергшихся атаке стран.

Об этом сообщают в департаменте киберполиции Национальной полиции Украины.

Киберполиция отмечает, что аудитория украинских пользователей не является массовой и составляет около 12% от общего количества раз загрузки инфицированных обновлений.

Предварительно установлено: в коде "BadRabbit" есть дублированные и аналогичные элементы кода "Petya" / "NotPetya" (Mimikatz, использование протокола SMB для горизонтального распространения, используя имена пользователей и их пароли и прочее).

В отличии от "NotPetya" шифровальщик "BadRabbit" не является Вайпером, то есть он не имеет целью уничтожения информации на жестких дисках пораженных компьютеров. Специалисты отмечают, что настоящей целью этой "атаки" было желание злоумышленников обогатиться и она была осуществима исключительно из корыстных побуждений.

Специалисты по киберполиции установили, что ключевым отличием между "Petya" / "NotPetya" и "BadRabbit" является то, что начальные векторы атаки отличаются.
"BadRabbit" для распространения в качестве основного вектора использует пораженные Интернет сайты, с которых пользователями загружалось фальшивое обновление "Flash". Другим отличием вирусов является то, что "BadRabbit" не использует уязвимость "EternalBlue".

"Факты поражения компьютеров жертв в результате открытия файлов электронных документов, которые направлялись по каналам электронной почты от неустановленных отправителей также имели место и проверяются", - сообщили в Нацполиции.

После посещения пораженного сайта, пользователю предлагается загрузить к себе на компьютер исполняемый файл-загрузчик (так называемый "Дроппер"), что маскируется под обновление программного обеспечения "Adobe Flash Player". Вредоносная программа для дальнейшего срабатывания должна запускаться с правами администратора. После запуска, она загружает ("дроппер") и разворачивает основной модуль с названием infpub.dat в каталоге C: \ Windows, который в дальнейшем выполняется с помощью rundll32.exe.

PM354image003

PM791image004

Работники киберполиции установили, что в коде "BadRabbit" были обнаружены отсылки к фэнтезийному телесериалу "Игра престолов".

"Например, запланированные задачи имеют имена трех драконов из сериала: Drogon, Rhaegal, Viserion. Ранее подобные послания к популярной фэнтезийной саги были замечены мировыми экспертами в составе одного из скриптов, который использовался для распространения известного шифровальщика "Locky", - добавили в киберполиции.

Также для избежания заражения компьтера вирусом "BadRabbit" в киберполиции рекомендуют делать теневое копирование файлов для восстановления данных в случае шифрования, заблокировать выполнения файлов c: \ windows \ infpub.dat, C: \ Windows \ cscc.dat, а также запретить (если это возможно) использование службы WMI и выполнение следующих задач: viserion_, rhaegal, drogon. Кроме этого, рекомендуется провести обновление операционной системы и системы безопасности, заблокировать ip-адреса и доменные имена с которых происходило распространение вредоносных файлов, а также настройкой групповой политики запретить хранения паролей в LSA Dump в открытом виде, изменить все пароли на сложные для предотвращения атаки по словарю (brute-force) и настроить блокировку всплывающих окон в браузере.

  • 24 октября команда реагирования на компьютерные чрезвычайные события Украины CERT-UA Государственной службы специальной связи и защиты информации предупредила, что информационные ресурсы Украины могут подвергнуться новой волне кибератак.
  • 24 октября Служба безопасности Украины блокировала дальнейшее распространение компьютерного вируса.
  • 24 октября Киевский метрополитен, аэропорт Одессы и Министерство инфраструктуры Украины подверглись хакерской атаке.