Вирус Bad Rabbit: описание работы и методы очистки. Bad Rabbit: очередной вирус-шифровальщик

Всем привет! Буквально на днях в России и Украине, Турции, Германии и Болгарии началась масштабная хакерская атака новым вирусом-шифровальщиком Bad Rabbit, он же Diskcoder.D. Шифровальщик на данный момент атакует корпоративные сети больших и средних организаций, блокируя все сети. Сегодня мы расскажем что из себя представляет этот троян и как можно защититься от него.

Что за вирус?

Bad Rabbit (Плохой Кролик) действует по стандартной для шифровальщиков схеме: попадая в систему, он кодирует файлы, за расшифровку которых хакеры требуют 0,05 биткоина, что по курсу составляет 283$ (или 15 700 руб). Об этом сообщается отдельным окном, куда собственно и требуется вводить купленный ключ. Угроза относится к типу троянов Trojan.Win32.Generic , однако в нем присутствуют и другие компоненты, такие как DangerousObject.Multi.Generic и Ransom .Win 32.Gen . ftl .

Bad Rabbit – новый вирус шифровальщик

Полностью отследить все источники заражения пока сложно, но специалисты этим сейчас занимаются. Предположительно угроза попадает на ПК через зараженные сайты, на которых настроено перенаправление, либо под видом фейковых обновлений для популярных плагинов типа Adobe Flash. Список таких сайтов пока только расширяется.

Можно ли удалить вирус и как защититься?

Сразу стоит сказать, в данный момент все антивирусные лаборатории принялись за анализ этого трояна. Если конкретно искать информацию по удалению вируса, то её, как таковой, нет. Отбросим сразу стандартные советы – сделайте бекап системы, точку возврата, удалите такие-то файлы. Если у вас нет сохранений, то все остальное не работает, хакеры такие моменты, в силу спецификации вируса, продумали.

Я думаю, в течении скорого времени будут распространятся сделанные аматорами дешифраторы для Bad Rabbit – вестись на эти программки или нет – ваше личное дело. Как показал прошлый шифровальщик Petya, это мало кому помогает.

А вот предупредить угрозу и удалить её при попытке залезть в ПК можно. Первыми на сообщения о вирусной эпидемии отреагировали лаборатории Kaspersky и ESET, которые уже сейчас блокируют попытки проникновения. Браузер Google Chrome также начал выявлять зараженные ресурсы и предупреждать об их опасности. Вот что нужно сделать для защиты от BadRabbit в первую очередь:

1. Если вы используете для защиты Касперский, ESET, Dr.Web, либо другие популярные аналоги, то вам необходимо обязательно выполнить обновление баз данных. Также, для Касперского необходимо включить “Мониторинг активности” (System Watcher), а в ESET примените сигнатуры с обновлением 16295.

   

2. Если вы не пользуетесь антивирусами, тогда необходимо заблокировать исполнение файлов C:\Windows\infpub.dat и C:\Windows\cscc.dat . Делается это через редактор групповых политик, либо программку AppLocker для Windows.

Желательно запретить выполнение службы – Windows Management Instrumentation (WMI) . В десятке служба называется “Инструментарий управления Windows” . Через правую кнопку войдите в свойства службы и выберите в “Тип запуска” режим “Отключена” .



3. Обязательно сделайте резервную копию вашей системы. По идее, копия должна всегда храниться на подключаемом носителе. Вот небольшая видео-инструкция по её созданию.

Заключение

В завершении стоит сказать самое главное – не стоит платить выкуп, что бы у вас ни было зашифровано. Такие действия только подстрекают мошенников создавать новые вирусные атаки. Отслеживайте форумы антивирусных компаний, которые, я надеюсь, в скором времени изучат вирус Bad Rabbit и найдут эффективную таблетку. Обязательно выполните вышеописанные пункты по защите вашей ОС. В случае сложностей в их выполнении, отпишитесь в комментариях.

24 октября российские СМИ, а также транспортные компании и государственные учреждения Украины подверглись атаке шифровальщика Bad Rabbit («Плохой кролик»). По данным открытых источников, в числе пострадавших Киевский метрополитен, аэропорт Одессы, Министерство инфраструктуры Украины, редакции «Интерфакса» и «Фонтанки».

По данным вирусной лаборатории ESET, в атаке на Киевский метрополитен использовалось вредоносное ПО Diskcoder.D - новая модификация шифратора, известного как Petya.

Специалисты по информационной безопасности из Group-IB установили, что атака готовилась несколько дней. В ESET предупреждают, что шифровальщик проникает в компьютер через поддельное обновление плагина Adobe Flash. После этого он заражает ПК и шифрует файлы на нем. Затем на мониторе появляется сообщение о том, что компьютер заблокирован, а для расшифровки файлов необходимо зайти на сайт Bad Rabbit - caforssztxqzf2nm.onion через браузер Tor.

Эпидемии шифровальщиков WannaCry и NotPetya показали, что необходимо вовремя обновлять установленные программы и систему, а также делать резервные копии, чтобы не остаться без важной информации после атаки вирусов.

Однако, если заражение произошло эксперты из Group-IB не рекомендуем платить выкуп, так как:

• таким образом вы помогаете преступникам;
• у нас нет доказательств, что данные тех, кто заплатил, были восстановлены.

Как защитить компьютер от заражения Bad Rabbit?

Чтобы не стать жертвой новой эпидемии Bad Rabbit («Плохой кролик»), специалисты «Лаборатории Касперского» рекомендуют сделать следующее:

Для пользователей антивирусных решений «Лаборатории Касперского»:

• Проверьте, включены ли в вашем защитном решении компоненты Kaspersky Security Network и «Мониторинг активности» (он же System Watcher). Если нет - обязательно включите.

Для тех, кто не пользуется антивирусными решениями «Лаборатории Касперского».

Вирус-шифровальщик Bad Rabbit или Diskcoder.D. aтaкуeт кopпopaтивныe ceти бoльшиx и cpeдниx opгaнизaций, блoкиpуя вce ceти.

Bad Rabbit или "плохой кролик" трудно назвать первопроходцем - ему предшествовали вирусы-шифровальщики Petya и WannaCry.

Bad Rabbit — что за вирус

Схему распространения нового вируса исследовали эксперты антивирусной компании ESET и выяснили, что Bad Rabbit проникал на компьютеры жертв под видом обновления Adobe Flash для браузера.

В антивирусной компании считают, что шифратор Win32/Diskcoder.D, получивший название Bad Rabbit - модифицированная версия Win32/Diskcoder.C, более известного как Petya/NotPetya, который поразил IT-системы организаций в нескольких странах в июне. На связь Bad Rabbit с NotPetya указывают совпадения в коде.

В атаке используется программа Mimikatz, которая перехватывает на зараженной машине логины и пароли. Также в коде имеются уже прописанные логины и пароли для попыток получения административного доступа.

В новой вредоносной программе исправлены ошибки в шифровании файлов — код, использованный в вирусе, предназначен для шифрования логических дисков, внешних USB-накопителей и образов CD/DVD, а также загрузочных системных разделов диска. Так, что экспертам по дешифровке придется потратить много времени, чтобы раскрыть секрет вируса Bad Rabbit, утверждают специалисты.

Новый вирус, как утверждают специалисты, действует пo cтaндapтнoй для шифpoвaльщикoв cxeмe — пoпaдaя в cиcтeму неизвестно откуда, oн кoдиpуeт фaйлы, зa pacшифpoвку кoтopыx xaкepы тpeбуют выкуп в биткоинах.

Разблокировка одного компьютера обойдется в 0,05 биткоина, что составляет порядка 283 долларов по текущему курсу. В случае выплаты выкупа мошенники вышлют специальный код-ключ, который позволит восстановить нормальную работу системы и не потерять все.

Если пользователь не переведет средства в течение 48 часов, размер выкупа вырастет.

Но, стоит помнить, что выплата выкупа - может быть ловушкой, которая не гарантирует разблокировку компьютера.

В ESET отмечают, что в настоящее время связь вредоносной программы с удаленным сервером отсутствует.

Вирус больше всего поразил российских пользователей, в меньшей степени — компании в Германии, Турции и на Украине. Распространение происходило через зараженные СМИ. Известные зараженные сайты уже заблокированы.

В ESET считают, что статистика атак в значительной степени соответствует географическому распределению сайтов, содержащих вредоносный JavaScript.

Как защититься

Специалисты компании Group-IB, которая занимается предотвращением и расследованием киберпреступностей, дали рекомендации, как защититься от вируса Bad Rabbit.

В частности, для защиты от сетевого вредителя нужно создать на своем компьютере файл C:\windows\infpub.dat, при этом в разделе администрирования установить для него права "только для чтения".

Этим действием исполнение файла будет заблокировано, и все поступающие извне документы не будут зашифрованы даже в том случае, если окажутся зараженными. Нужно создать резервную копию всех ценных данных, чтобы в случае заражения не потерять их.

Специалисты Group-IB также советуют заблокировать ip-адреса и доменные имена, с которых происходило распространение вредоносных файлов, поставить пользователям блокировку всплывающих окон.

Рекомендуется также оперативно изолировать компьютеры в системе обнаружения вторжений. Пользователям ПК следует также проверить актуальность и целостность резервных копий ключевых сетевых узлов и обновить операционные системы и системы безопасности.

"В части парольной политики: настройками групповой политики запретите хранение паролей в LSA Dump в открытом виде. Смените все пароли на сложные", — добавили в компании.

Предшественники

Вирус WannaCry в мае 2017 года распространился не менее чем в 150 странах мира. Он шифровал информацию и требовал заплатить выкуп, по разным данным, от 300 до 600 долларов.

От него пострадали свыше 200 тысяч пользователей. По одной из версий, его создатели взяли за основу вредоносную программу АНБ США Eternal Blue.

Глобальная атака вируса-вымогателя Petya 27 июня поразила IT-системы компаний в нескольких странах мира, в большей степени затронув Украину.

Атаке подверглись компьютеры нефтяных, энергетических, телекоммуникационных, фармацевтических компаний, а также госорганов. Киберполиция Украины заявила, что атака вируса-вымогателя произошла посредством программы "M.E.doc".

Материал подготовлен на основе открытых источников

Третья масштабная кибератака за год. На этот раз вирус с новым названием Bad Rabbit и старыми повадками — шифрование данных и вымогание денег за разблокировку. И в зоне поражения по прежнему Россия, Украина и некоторые другие страны СНГ.

Плохой Кролик действует по привычной схеме: присылает фишинговое письмо со вложенным вирусом или ссылкой. В частности, злоумышленники могут представляться техподдержкой Microsoft и попросить срочно открыть вложенный файл или пройти по ссылке. Есть и другой путь распространения — поддельное окно обновления Adobe Flash Player. В обоих случаях Bad Rabbit действует также, как и нашумевший не так давно , он шифрует данные жертвы и требует выкуп в размере 0,05 биткойна, что примерно $280 по курсу на 25 октября 2017 года. Жертвами новой эпидемии стали «Интерфакс», питерское издание «Фонтанка», киевский Метрополитен, одесский аэропорт и Министерство культуры Украины. Есть данные, что новый вирус пытался атаковать и несколько известных российских банков, но эта затея провалилась. Эксперты связывают Bad Rabbit с предыдущими крупными атаками, зафиксированными в этом году. Доказательством тому служит схожее ПО шифрования Diskcoder.D, а это тот самый шифровальщик Petya, только слегка видоизмененный.

Как защититься от Bad Rabbit?

Специалисты рекомендуют владельцам Windows компьютеров создать файл «infpub.dat» и поместить его в папку Windows на диске «C». В итоге путь должен выглядеть следующим образом: C:\windows\infpub.dat. Сделать это можно при помощи обычного блокнота, но с правами Администратора. Для этого находим ссылку на программу «Блокнот», кликаем правой кнопкой мышки и выбираем «Запуск от имени Администратора».

Дальше нужно просто сохранить этот файл по адресу C:\windows\, то есть в папку Windows на диске «C». Название файла: infpub.dat, при этом «dat» это расширение файла. Не забудьте заменить стандартное расширение блокнота «txt» на «dat». После того, как вы сохраните файл, откройте папку Windows, найдите созданный файл infpub.dat, нажмите на него правой кнопкой мыши и выберите пункт «Свойства», где в самом низу нужно поставить галочку «Только чтение». Таким образом даже если вы поймаете вирус Плохого Кролика, он не сможет зашифровать ваши данные.

Превентивные меры

Не забывайте, что оградить себя от любого вируса можно просто соблюдая определенные правила. Прозвучит банально, но никогда не открывайте письма и уже тем более их вложения, если адрес кажется вам подозрительным. Фишинговые письма, то есть маскирующиеся под другие сервисы, наиболее частый способ заражения. Внимательно следите за тем, что вы открываете. Если в письме вложенный файл называется «Важный документ.docx_______.exe» то открывать этот файл точно не следует. Кроме этого нужно иметь резервные копии важных файлов. Например семейный архив с фотографиями или рабочие документы можно продублировать на внешний диск или на облачное хранилище. Не забывайте, как важно использовать лицензионную версию Windows и регулярно устанавливать обновления. Патчи безопасности выпускаются Microsoft регулярно и те, кто их устанавливает не имеют проблем с подобными вирусами.

Bad Rabbit – это вирус, относящийся к шифрующим вирусам-вымогателям. Появился он совсем недавно и нацелен главным образом на компьютеры пользователей России и Украины, а также частично Германии и Турции.

Принцип работы вирусов-шифровальщиков всегда один: попадая на компьютер, вредоносная программа шифрует файлы системы и данные пользователя, блокируя доступ к компьютеру посредством пароля. Все, что отображается на экране, – это окно вируса, требования злоумышленника и номер счета, на который тот требует перевести деньги для разблокировки. После массового распространения криптовалют стало популярно требовать выкуп именно в биткоинах, поскольку операции с ними крайне сложно отследить со стороны. Также поступает и Bad Rabbit. Он использует уязвимости операционной системы, в частности в Adobe Flash Player, и проникает под видом обновления для него.

После заражения BadRabbit создает в папке Windows файл infpub.dat, который создает остальные файлы программы: cscc.dat и dispci.exe, которые вносят свои изменения в настройки MBR диска пользователя и создают свои задачи подобно Планировщику задач. Эта вредоносная программа имеет свой персональный сайт для оплаты выкупа, пользуется сервисом шифрования DiskCryptor, шифрует методами RSA-2048 и AE, а также отслеживает все устройства, подключенные к данному компьютеру, пытаясь заразить и их тоже.

Согласно оценке Symantec вирус получил статус низкой угрозы, а также по утверждению специалистов был создан теми же разработчиками, что и вирусы, обнаруженные за пару месяцев до Bad Rabbit, NotPetya и Petya, поскольку имеет схожие алгоритмы работы. Впервые шифровальщик Bad Rabbit появился в октябре 2017 года и первыми его жертвами стали интернет-газета «Фонтанка», ряд СМИ и сайт информационного агентства «Интерфакс». Компания «Билайн» также была подвержена атаке, но угрозу удалось вовремя предотвратить.

Примечание: К счастью, на данный момент программы по обнаружению подобных угроз уже более эффективны, чем раньше, и риск заражения этим вирусом снизился.

Удаление вируса Bad Rabbit

Восстановление загрузчика

Как и в большинстве случаев подобного типа, для устранения угрозы можно попробовать восстановить загрузчик Windows. В случае с Windows 10 и Windows 8 для этого необходимо подключить установочный дистрибутив системы на USB или DVD, и, загрузившись с него, перейти к опции «Исправление вашего компьютера». После этого нужно перейти в «Устранение неполадок» и выбрать «Командную строку».

Теперь осталось ввести команды одну за другой, каждый раз нажимая Enter после ввода очередной команды:

1. bootrec /FixMbr
2. bootrec /FixBoot
3. bootrec /ScanOs
4. bootrec /RebuildBcd

После проведенных операций – выход и перезагрузка. Чаще всего этого хватает для решения проблемы.
Для Windows 7 действия те же, только там «Командная строка» находится в «Опциях системного восстановления» на установочном дистрибутиве.

Устранение вируса через Безопасный режим

Для использования этого способа необходимо войти в безопасный режим с поддержкой сети. Именно с поддержкой сети, а не простой Безопасный режим. В Windows 10 это можно сделать опять же через установочный дистрибутив. Загрузившись с него, в окне с кнопкой «Установить» необходимо нажать комбинацию из клавиш Shift+F10 и в поле ввести:

bcdedit /set {default} safeboot network

В Windows 7 можно просто несколько раз прожать F8 во время включения компьютера и в появившемся меню выбрать этот режим загрузки из списка.
После входа в безопасный режим главная цель – просканировать операционную систему на наличие угроз. Сделать это лучше через проверенные временем утилиты, такие как Reimage или Malwarebytes Anti-Malware.

Устранение угрозы с помощью Центра восстановления

Для использования данного способа необходимо снова задействовать «Командную строку», как из инструкции выше, а после ее запуска ввести cd restore и подтвердить нажатием Enter. После этого нужно ввести rstrui.exe. Откроется окно программы, в котором можно вернуться на предыдущую точку восстановления, предшествующую заражению.