Bad Rabbit ransomware е най-агресивният и опасен компютърен вирус в момента
WannaCry и Petya не са единствените вируси, спечелили слава по време на глобални кибератаки. Лош заек рансъмуер, за който се предполага, че е нов вариант на Петя/Не Петя/ExPetr, удари тежко Русия, Украйна, Германия, Турция и други страни по света на 24 октомври.
Рансъмуерът криптира всички данни на компютъра и пренаписва Master Boot Record. Следователно зловредният софтуер рестартира системата и след това показва бележка за откуп на екрана. Новият вариант на зловреден софтуер вече засегна редица различни страни по света и като се има предвид колко бързо се разпространява, е задължително да се знаят основните факти за него.
Информационният поток се ускорява и компютърните потребители могат бързо да се изгубят, тъй като всеки новинарски сайт предоставя все повече и повече подробности за вируса. Експерти от екипа на VirusActivity подготвиха информационна справка за Кибератака на Bad Rabbit, какво представлява и какво трябва да знаят компютърните потребители.
Топ 5 неща, които трябва да знаете за кибер атаката на BadRabbit
1. Рансъмуерът се разпространява чрез фалшиви актуализации на Adobe Flash Player.
Според експерти, разработчиците на ransomware са използвали стар и ефективен метод за разпространение на ransomware, който разчита на фалшиви актуализации на Flash Player.[1] Изглежда, че хакерите са инжектирали злонамерени JavaScript кодове в HTML на различни уебсайтове (повечето от тях са руски, български или турски) и по този начин ги принуди да обслужват фалшиви изскачащи прозорци, предлагащи да актуализират остаряла Flash Играч.
В случай, че жертвата щракне върху бутона „Инсталиране“, злонамереният скрипт пренасочва жертвата към натоварени със злонамерен софтуер домейни и изтегля файла install_flash_player.exe. В този момент жертвата все още може да отстъпи назад и да изтрие изтегления файл, за да избегне пълно повреждане на данните. За съжаление, изпълнението на споменатия файл започва веднага процеса на криптиране на данни.
Рансъмуерът не се разпространява чрез уязвимостта EternalBlue, както вирусът NotPetya. Вместо това Bad Rabbit е в състояние да се разпространява допълнително чрез акции на SMB.[2]
2. Подозира се, че Bad Rabbit е подобрен вариант на Petya/NotPetya ransomware
Говорейки за произхода на Bad Rabbit, трябва да споменем прословутия ransomware, известен като Petya/NotPetya/ExPetr[3]. И двата вируса имат прилики и разлики, но най-забележимата подробност е, че и двата променят основния запис за зареждане (MBR) и показват плашещо съобщение на екрана на компютъра.
3. Новият вирус не е чистачката и работи като истински крипто-рансъмуер, който прави файловете безполезни да изискват откуп.
BadRabbit обаче не е чистачка. Докато NotPetya първоначално беше идентифициран като ransomware, по-нататъшен анализ разкри, че е повредил данните в целевата система за постоянно. Щетите, пренесени от злонамерения полезен товар, не могат да бъдат отменени по никакъв начин.
Новият вариант обаче криптира файлове с помощта на помощната програма DiskCryptor. Файловете, кодирани от Bad Rabbit, ще имат .encrypted файлово разширение, добавено към имената им.
4. Рансъмуерът иска да плати 0,05 биткойн
След криптиране на файловете в целевата система, зловредният софтуер модифицира MBR и рестартира компютъра. В резултат на това жертвите се натъкват на страшно изглеждащо съобщение, написано в червено на черен фон. Рансъмуерът предлага да посетите подозрително изглеждащ URL адрес, който не може да бъде достъпен чрез обикновени уеб браузъри.
Жертвата трябва да изтегли и инсталира браузъра Tor, за да получи достъп до уебсайта за плащане. След това уебсайтът изисква въвеждане на личния идентификационен ключ. Предоставянето на дадения ключ позволява на жертвата да види биткойн адреса на престъпниците, където трябва да бъде преведено плащането. Рансъмуерът дава 40 часа за завършване на транзакцията. Цената на откупа се увеличава веднага след като минат 40 часа.
5. Няма начин да декриптирате файлове, криптирани от Bad Rabbit
За съжаление, колкото и да се опитвате, няма начин да възстановите файлове, повредени от зловреден софтуер Bad Rabbit. Все още има известна надежда, че анализаторите на злонамерен софтуер може да открият недостатък в кода за рансъмуер, който може позволяват им да създадат работещ инструмент за декриптиране, но в момента изглеждат такива очаквания нереалистично.
Понастоящем единственият възможен начин за възстановяване на файлове, повредени от този нов вариант на рансъмуер, е да използвате резервно копие на данни.[4] Въпреки това, първо ще трябва да премахнете зловреден софтуер Bad Rabbit. Ако не сте запознати с най-добрите инструменти за премахване на зловреден софтуер в днешно време, силно ви съветваме да прочетете отзиви на сайтове, свързани със сигурността, като напр. 2-Spyware.com.