Bad Rabbit ransomware yra agresyviausias ir pavojingiausias kompiuterinis virusas šiuo metu
WannaCry ir Petya nėra vieninteliai virusai, pelnę šlovę per pasaulines kibernetines atakas. „Bad Rabbit“ išpirkos programa, kuris, kaip įtariama, yra naujas variantas Petya/Ne Petya/ExPetr, smarkiai nukentėjo Rusija, Ukraina, Vokietija, Turkija ir kitos pasaulio šalys spalio 24 d.
Išpirkos reikalaujanti programa užšifruoja visus kompiuteryje esančius duomenis ir perrašo pagrindinį įkrovos įrašą. Todėl kenkėjiška programa iš naujo paleidžia sistemą ir ekrane parodo išpirkos užrašą. Naujasis kenkėjiškų programų variantas jau paveikė daugybę skirtingų pasaulio šalių, o atsižvelgiant į tai, kaip greitai ji plinta, būtina žinoti pagrindinius faktus apie jį.
Informacijos srautas vis spartėja, o kompiuterių vartotojai gali greitai pasiklysti, nes kiekviena naujienų svetainė pateikia vis daugiau informacijos apie virusą. VirusActivity komandos ekspertai parengė informacinį lapelį apie „Bad Rabbit“ kibernetinė ataka, kas tai yra ir ką turi žinoti kompiuterių vartotojai.
5 svarbiausi dalykai, kuriuos reikia žinoti apie „BadRabbit“ kibernetinę ataką
1. Išpirkos reikalaujanti programa plinta per netikrus „Adobe Flash Player“ atnaujinimus.
Pasak ekspertų, išpirkos reikalaujančios programinės įrangos kūrėjai taikė seną ir veiksmingą išpirkos reikalaujančių programų platinimo metodą, kuris remiasi netikrais „Flash Player“ atnaujinimais.[1] Panašu, kad įsilaužėliai įleido kenkėjiškus JavaScript kodus į įvairių svetainių HTML (dauguma jų yra rusų, bulgarų ar turkų) ir tokiu būdu jie privertė teikti netikrus iššokančiuosius langus, siūlančius atnaujinti pasenusią „Flash“ Žaidėjas.
Jei auka spustelėja mygtuką „Įdiegti“, kenkėjiškas scenarijus nukreipia auką į kenkėjiškų programų apkrautus domenus ir atsisiunčia failą install_flash_player.exe. Šiuo metu auka vis tiek gali atsitraukti ir ištrinti atsisiųstą failą, kad išvengtų visiško duomenų sugadinimo. Deja, paleidus minėtą failą iš karto pradedamas duomenų šifravimo procesas.
Išpirkos reikalaujanti programa neplinta naudojant „EternalBlue“ pažeidžiamumą, kaip tai padarė „NotPetya“ virusas. Vietoj to, „Bad Rabbit“ gali toliau plisti per SMB akcijas.[2]
2. Įtariama, kad „Bad Rabbit“ yra patobulintas „Petya“ / „NotPetya“ išpirkos reikalaujančios programos variantas
Kalbėdami apie Bad Rabbit kilmę, turime paminėti liūdnai pagarsėjusią išpirkos programą, žinomą kaip Petya / NotPetya / ExPetr[3]. Abu virusai turi panašumų ir skirtumų, tačiau labiausiai pastebima detalė yra ta, kad abu jie modifikuoja Master Boot Record (MBR) ir kompiuterio ekrane rodo bauginantį pranešimą.
3. Naujasis virusas nėra valytuvas ir veikia kaip tikra kriptovaliutų išpirkos programa, dėl kurios failai tampa nenaudingi norint reikalauti išpirkos.
Tačiau „BadRabbit“ nėra valytuvas. Nors „NotPetya“ iš pradžių buvo nustatyta kaip išpirkos reikalaujanti programinė įranga, tolesnė analizė parodė, kad ji visam laikui sugadino tikslinės sistemos duomenis. Žala, kurią padarė kenksmingas krovinys, niekaip negalėjo būti atšaukta.
Tačiau naujasis variantas užšifruoja failus naudojant „DiskCryptor“ įrankį. Prie failų, užkoduotų Bad Rabbit, pavadinimų bus pridėtas .encrypted failo plėtinys.
4. Išpirkos reikalaujanti programa prašo sumokėti 0,05 Bitcoin
Užšifravus failus tikslinėje sistemoje, kenkėjiška programa pakeičia MBR ir iš naujo paleidžia kompiuterį. Dėl to aukos patenka į bauginančiai atrodantį pranešimą, parašytą raudonai juodame fone. Išpirkos reikalaujanti programa siūlo apsilankyti įtartinai atrodančiame URL, kurio negalima pasiekti naudojant įprastas žiniatinklio naršykles.
Auka turi atsisiųsti ir įdiegti Tor naršyklę, kad galėtų pasiekti mokėjimo svetainę. Tada svetainė prašo įvesti asmens identifikavimo raktą. Pateikus duotą raktą, auka gali matyti nusikaltėlių Bitcoin adresą, į kurį reikia pervesti mokėjimą. Išpirkos reikalaujanti programa suteikia 40 valandų operacijai užbaigti. Išpirkos kaina padidėja, kai tik praeina 40 valandų.
5. Jokiu būdu negalima iššifruoti „Bad Rabbit“ užšifruotų failų
Deja, kad ir kaip stengtumėtės, nėra būdo atkurti „Bad Rabbit“ kenkėjiškų programų sugadintų failų. Vis dar liko vilties, kad kenkėjiškų programų analitikai gali rasti išpirkos reikalaujančio kodo trūkumą, kuris gali leisti jiems sukurti veikiantį iššifravimo įrankį, tačiau šiuo metu tokie lūkesčiai atrodo nerealu.
Šiuo metu vienintelis galimas būdas atkurti failus, sugadintus šio naujo ransomware varianto, yra naudoti atsarginę duomenų kopiją.[4] Tačiau pirmiausia turėsite pašalinti „Bad Rabbit“ kenkėjišką programą. Jei nesate susipažinę su geriausiais kenkėjiškų programų pašalinimo įrankiais šiais laikais, primygtinai rekomenduojame perskaityti atsiliepimus apie su sauga susijusias svetaines, pvz., 2-Spyware.com.