Эпидемия BadRabbit. Как это было
Во вторник 24 сентября было зафиксировано начало очередной, минимум третьей в текущем году вирусной эпидемии. Ее вызвал зловред BadRabbit, он же Win32/Diskcoder.D. Распространялось вредоносное ПО через скомпрометированные web-сайты, в частности, информационного агентства «Интерфакс», сетевого издания «Фонтанка.Ру», «Новой газеты в Санкт-Петербурге» и «Аргументов недели». Далее вирус использовал для своей установки фальшивое средство обновления дополнения к браузерам Flash. При нажатии всплывающее окно переадресует жертву на сайт, который, в свою очередь, загружает исполняемый дроппер (программу для скрытой установки вредоносного ПО на компьютер жертвы). Далее вредонос может распространяться внутри корпоративной сети через протокол SMB. По данным «Лаборатории Касперского» и ESET, в атаке не используется эксплуатация ошибок в ПО. Вместе с тем обращалось внимание на тот факт, что заражение возможно только в том случае, когда пользователь имел права администратора.
Экран сообщения о блокировке, который видит пользователь, почти идентичен экранам блокировки Petya и NotPetya. После успешного заражения вымогатель создает уникальный ключ для каждой жертвы, который виден в файле READ ME.txt, там же указан сайт оплаты, размещенный в Tor. За расшифровку файлов злоумышленники требуют 0,05 биткойна, что по современному курсу примерно эквивалентно 283 долл. Зашифровке, по данным CheckPoint, подвержены определенные типы файлов (см. примечание).
По данным «Лаборатории Касперского», большая часть заражений приходится на Россию. Несколько меньшее количество атак зафиксировано на Украине. Отмечались также несколько случаев в Болгарии, Германии, Грузии, Турции и ряде других стран.
По данным ESET, вредоносное ПО представляет собой модифицированную версию Win32/Diskcoder.C, более известного как Petya/NotPetya. В новой программе исправлены ошибки в шифровании файлов. Теперь шифрование осуществляется с помощью DiskCryptor – легитимного ПО с открытым исходным кодом, предназначенного для шифрования логических дисков, в том числе загрузочных системных разделов. «Лаборатория Касперского» указывает на то, что автор(ы) BadRabbit используют механизмы, сходные с теми, что использовались группой ExPetr, которая стояла за Petya и NotPetya.
Для предотвращения заражений рекомендуется заблокировать исполнение файлов c:windowsinfpub.dat, C:Windowscscc.dat., а также запретить (если это возможно) использование службы WMI. Ну и необходимо использовать надежное антивирусное средство.
Примечание. Типы файлов, подверженные заражению:
.3ds; 7z; .accdb; .ai; .asm; .asp; .aspx; .avhd; .back; .bak; .bmp; .brw; .c; .cab; .cc; .cer; .cfg; .conf; .cpp; .crt; .cs; .ctl; .cxx; .dbf; .der; .dib; .disk; .djvu; .doc; .docx; .dwg; .eml; .fdb; .gz; .h; .hdd; .hpp; .hxx; .iso; .java; .jfif; .jpe; .jpeg; .jpg; .js; .kdbx; .key; .mail; .mdb; .msg; .nrg; .odc; .odf; .odg; .odi; .odm; .odp; .ods; .odt; .ora; .ost; .ova; .ovf; .p12; .p7b; .p7c; .pdf; .pem; .pfx; .php; .pmf; .png; .ppt; .pptx; .ps1; .pst; .pvi; .py; .pyc; .pyw; .qcow; .qcow2; .rar; .rb; .rtf; .scm; .sln; .sql; .tar; .tib; .tif; .tiff; .vb; .vbox; .vbs; .vcb; .vdi; .vfd; .vhd; .vhdx; .vmc; .vmdk; .vmsd; .vmtm; .vmx; .vsdx; .vsv; .work; .xls; .xlsx; .xml; .xvd; .zip