Кіберполіція на своєму офіційному сайті повідомила про поодинокі атаки типу «drive-by-download» з використанням програми шифрувальника, який отримав назву «BadRabbit».
На відмінність від «NotPetya» шифрувальник «BadRabbit» не має на меті знищення інформації на жорстких дисках уражених комп’ютерів. Спеціалісти зазначають, що справжньою метою зловмисників щодо цієї «атаки» – бажання збагатитися і вона була здійсненна виключно з корисливих мотивів.
Для розповсюдження вірусу використовувались «фейкові» оновлення програмного забезпечення «Adobe Flash Player», яким були уражені інтернет сайти:
- hxxp://argumentiru[.]com
- hxxp://www.fontanka[.]ru
- hxxp://grupovo[.]bg
- hxxp://www.sinematurk[.]com
- hxxp://www.aica.co[.]jp
- hxxp://spbvoditel[.]ru
- hxxp://argumenti[.]ru
- hxxp://www.mediaport[.]ua
- hxxp://blog.fontanka[.]ru
- hxxp://an-crimea[.]ru
- hxxp://www.t.ks[.]ua
- hxxp://most-dnepr[.]info
- hxxp://osvitaportal.com[.]ua
- hxxp://www.otbrana[.]com
- hxxp://calendar.fontanka[.]ru
- hxxp://www.grupovo[.]bg
- hxxp://www.pensionhotel[.]cz
- hxxp://www.online812[.]ru
- hxxp://www.imer[.]ro
- hxxp://novayagazeta.spb[.]ru
- hxxp://i24.com[.]ua
- hxxp://bg.pensionhotel[.]com
- hxxp://ankerch-crimea[.]ru
Як зазначає кіберполіція, після відвідування ураженого сайту, користувачеві пропонується завантажити до себе на комп’ютер виконуваний файл-завантажувач (так званий «дропер»), що маскується під оновлення програмного забезпечення «Adobe Flash Player». Шкідлива програма для подальшого спрацювання повинна запускатися з правами адміністратора.
«У подальшому шкідлива програма шифрує лише файли з обраними розширеннями, у тому числі .doc, .docx, .xls, .xlsx. Існує припущення що використовується ймовірно алгоритм AES в режимі CBC. Після шифрування, розширення файлів не змінюється. В кінці вмісту файлу додається унікальний текст: “% encrypted”, який є маркером того, що файл було зашифровано. Після цього, як і «NotPetya», «BadRabbit» створює заплановане завдання для перезавантаження операційної системи. Після завершення атаки, система перезавантажується і на екрані комп’ютера з’являється повідомлення із вимогою про викуп та посиланням на сайт в мережі ТОR. За розшифрування файлів зловмисники вимагають 0,05 ВТС, що еквівалентно близько 300 доларам США. Повідомлення візуально дуже схоже на те, яке з’являлось під час атаки «NotPetya», йдеться на сайті департаменту кіберполіції.
Рекомендації для користувачів, щоб не стати жертвою вірусу-шифрувальника або вимагача на кшталт «BadRabbit»:
– робіть тіньове копіювання файлів для відновлення даних, у разі шифрування;
– заблокуйте виконання файлів c: \ windows \ infpub.dat, C: \ Windows \ cscc.dat;
– заборонити (якщо це можливо) використання служби WMI;
– заборонити виконання наступних завдань: viserion_, rhaegal, drogon;
– проведіть оновлення операційної системи та системи безпеки;
– заблокуйте ip-адреси і доменні імена з яких відбувалося поширення шкідливих файлів;
– налаштуванням групової політики забороніть зберігання паролів в LSA Dump у відкритому вигляді;
– змініть всі паролі на складні для запобігання атаки за словником (brute-force);
– налаштуйте блокування спливаючих вікон в браузері;
– застосувати сучасні засоби виявлення вторгнень і пісочницю («sandbox») для аналізу підозрілих файлів.
