A Bad Rabbit ransomware jelenleg a legagresszívabb és legveszélyesebb számítógépes vírus
A WannaCry és a Petya nem az egyetlen vírus, amely a globális kibertámadások során szerzett hírnevet. Bad Rabbit ransomware, amely a gyanú szerint egy új változata Petya/Nem Petya/ExPetr, október 24-én súlyosan sújtotta Oroszországot, Ukrajnát, Németországot, Törökországot és a világ más országait.
A zsarolóprogram minden adatot titkosít a számítógépen, és átírja a Master Boot Record-ot. Következésképpen a rosszindulatú program újraindítja a rendszert, majd a képernyőn megjelenít egy váltságdíjat. Az új malware-változat már világszerte számos országot érintett, és tekintve, hogy milyen gyorsan terjed, feltétlenül ismerni kell a főbb tényeket róla.
Az információáramlás felgyorsul, a számítógép-használók gyorsan eltévedhetnek, hiszen minden híroldal egyre több információt közöl a vírusról. A VirusActivity csapatának szakértői tájékoztatót készítettek erről Bad Rabbit kibertámadás, mi ez, és mit kell tudniuk a számítógépes felhasználóknak.
Az 5 legfontosabb tudnivaló a BadRabbit kibertámadásról
1. A zsarolóprogram hamis Adobe Flash Player-frissítéseken keresztül terjed.
A szakértők szerint a zsarolóvírus fejlesztői egy régi és hatékony zsarolóvírus-terjesztési módszert alkalmaztak, amely hamis Flash Player-frissítéseken alapul.[1] Úgy tűnik, hogy a hackerek rosszindulatú JavaScript kódokat fecskendeztek be különböző webhelyek HTML-kódjába (legtöbbjük orosz, bolgár vagy török) és így arra kényszerítették őket, hogy hamis előugró ablakokat szolgáltassanak ki, amelyek egy elavult Flash frissítését javasolják. Játékos.
Ha az áldozat rákattint a „Telepítés” gombra, a rosszindulatú szkript átirányítja az áldozatot rosszindulatú programokkal teli tartományokra, és letölti az install_flash_player.exe fájlt. Ezen a ponton az áldozat továbbra is visszaléphet, és törölheti a letöltött fájlt, hogy elkerülje a teljes adatsérülést. Sajnos az említett fájl végrehajtása azonnal elindítja az adattitkosítási folyamatot.
A zsarolóprogram nem az EternalBlue sebezhetősége révén terjed, ahogy a NotPetya vírus tette. Ehelyett a Bad Rabbit képes tovább terjedni az SMB megosztásokon keresztül.[2]
2. A Bad Rabbit a gyanú szerint a Petya/NotPetya ransomware továbbfejlesztett változata
Ha már a Bad Rabbit eredetéről beszélünk, meg kell említenünk a Petya/NotPetya/ExPetr néven ismert hírhedt ransomware-t.[3]. Mindkét vírusnak vannak hasonlóságai és különbségei, de a legszembetűnőbb részlet az, hogy mindkettő módosítja a Master Boot Record-ot (MBR), és ijesztő üzenetet jelenít meg a számítógép képernyőjén.
3. Az új vírus nem törlő, hanem igazi kripto-ransomwareként működik, amely használhatatlanná teszi a fájlokat váltságdíj követelésére.
A BadRabbit azonban nem ablaktörlő. Míg a NotPetya-t eredetileg zsarolóprogramként azonosították, a további elemzések feltárták, hogy véglegesen megsértette a célrendszer adatait. A rosszindulatú rakomány által okozott kárt semmilyen módon nem lehetett visszafordítani.
Az új változat azonban a DiskCryptor segédprogrammal titkosítja a fájlokat. A Bad Rabbit által kódolt fájlok nevükhöz .encrypted fájlkiterjesztés tartozik.
4. A ransomware 0,05 Bitcoin fizetését kéri
A célrendszeren lévő fájlok titkosítása után a kártevő módosítja az MBR-t, és újraindítja a számítógépet. Ennek eredményeként az áldozatok egy ijesztőnek tűnő üzenetbe futnak bele, amely fekete alapon pirossal van írva. A zsarolóprogram azt sugallja, hogy keressen fel egy gyanúsnak tűnő URL-t, amely nem érhető el hagyományos webböngészőkkel.
Az áldozatnak le kell töltenie és telepítenie kell a Tor böngészőt a fizetési webhely eléréséhez. Ezután a webhely kéri a személyi azonosító kulcs megadását. A megadott kulcs megadásával az áldozat láthatja a bűnözők Bitcoin címét, ahová a fizetést át kell utalni. A ransomware 40 órát ad a tranzakció végrehajtására. A váltságdíj ára 40 óra elteltével emelkedik.
5. Nincs mód a Bad Rabbit által titkosított fájlok visszafejtésére
Sajnos bármennyire is próbálkozik, nincs mód a Bad Rabbit kártevő által megrongált fájlok helyreállítására. Még mindig maradt némi remény, hogy a rosszindulatú programok elemzői hibát találhatnak a ransomware kódban, amely lehetővé teszik számukra egy működő dekódoló eszköz létrehozását, azonban jelenleg úgy tűnik, hogy ilyen elvárások vannak irreális.
Jelenleg az egyetlen lehetséges módja az új ransomware-változat által sérült fájlok helyreállításának az adatmentés használata.[4] Először azonban el kell távolítania a Bad Rabbit malware-t. Ha nem ismeri manapság a legjobb rosszindulatú programok eltávolító eszközeit, erősen javasoljuk, hogy olvassa el a biztonsággal kapcsolatos webhelyek véleményét, mint pl. 2-Spyware.com.