Bad Rabbit ransomware ir šī brīža agresīvākais un bīstamākais datorvīruss
WannaCry un Petya nav vienīgie vīrusi, kas izpelnījās slavu globālo kiberuzbrukumu laikā. Bad Rabbit izpirkuma programmatūra, kas, domājams, ir jauns variants Petja/Nav Petja/ExPetr, 24. oktobrī smagi skāra Krieviju, Ukrainu, Vāciju, Turciju un citas valstis visā pasaulē.
Izpirkuma programmatūra šifrē visus datorā esošos datus un pārraksta galveno sāknēšanas ierakstu. Līdz ar to ļaunprogrammatūra restartē sistēmu un pēc tam ekrānā parāda izpirkuma piezīmi. Jaunais ļaunprogrammatūras variants jau ir skāris vairākas dažādas valstis visā pasaulē, un, ņemot vērā, cik ātri tas izplatās, ir jāzina galvenie fakti par to.
Informācijas plūsma paātrinās, un datoru lietotāji var ātri pazust, jo katra ziņu vietne sniedz arvien vairāk informācijas par vīrusu. VirusActivity komandas eksperti ir sagatavojuši faktu lapu par Bad Rabbit kiberuzbrukums, kas tas ir un kas datorlietotājiem jāzina.
5 galvenās lietas, kas jāzina par BadRabbit kiberuzbrukumu
1. Izpirkuma programmatūra izplatās, izmantojot viltotus Adobe Flash Player atjauninājumus.
Pēc ekspertu domām, izpirkuma programmatūras izstrādātāji izmantoja vecu un efektīvu izspiedējvīrusu izplatīšanas metodi, kas balstās uz viltotiem Flash Player atjauninājumiem.[1] Šķiet, ka hakeri ir ievadījuši ļaunprātīgus JavaScript kodus dažādu vietņu HTML kodā (lielākā daļa no tiem ir krievu, bulgāru vai turku), un tādējādi viņi lika rādīt viltotus uznirstošos logus, kas ierosināja atjaunināt novecojušu Flash. Spēlētājs.
Ja upuris noklikšķina uz pogas “Instalēt”, ļaunprātīgais skripts novirza upuri uz domēniem, kuros ir ļaunprātīga programmatūra, un lejupielādē failu install_flash_player.exe. Šajā brīdī cietušais joprojām var atkāpties un izdzēst lejupielādēto failu, lai izvairītos no pilnīgas datu sabojāšanas. Diemžēl minētā faila izpilde uzreiz sāk datu šifrēšanas procesu.
Izpirkuma programmatūra neizplatās, izmantojot EternalBlue ievainojamību, kā to darīja NotPetya vīruss. Tā vietā Bad Rabbit spēj izplatīties tālāk, izmantojot SMB akcijas.[2]
2. Ir aizdomas, ka Bad Rabbit ir uzlabots Petya/NotPetya izpirkuma programmatūras variants
Runājot par Bad Rabbit izcelsmi, ir jāpiemin bēdīgi slavenā izpirkuma programmatūra, kas pazīstama kā Petya/NotPetya/ExPetr.[3]. Abiem vīrusiem ir līdzības un atšķirības, taču visievērojamākā detaļa ir tā, ka abi modificē galveno sāknēšanas ierakstu (MBR) un datora ekrānā parāda biedējošu ziņojumu.
3. Jaunais vīruss nav tīrītājs un darbojas kā patiesa kriptogrāfijas izpirkuma programmatūra, kas padara failus nederīgus, lai pieprasītu izpirkuma maksu.
Tomēr BadRabbit nav tīrītājs. Lai gan NotPetya sākotnēji tika identificēts kā izspiedējvīruss, turpmākā analīze atklāja, ka tā neatgriezeniski sabojāja datus par mērķa sistēmu. Ļaunprātīgās kravas radītos bojājumus nekādā veidā nevarēja novērst.
Tomēr jaunais variants šifrē failus, izmantojot DiskCryptor utilītu. Bad Rabbit kodētajiem failiem to nosaukumiem būs pievienots .encrypted faila paplašinājums.
4. Izpirkuma programmatūra prasa samaksāt 0,05 Bitcoin
Pēc failu šifrēšanas mērķa sistēmā ļaunprogrammatūra modificē MBR un restartē datoru. Rezultātā upuri uzduras biedējoša izskata vēstulei, kas rakstīta sarkanā krāsā uz melna fona. Izpirkuma programmatūra iesaka apmeklēt aizdomīga izskata URL, kuram nevar piekļūt, izmantojot parastās tīmekļa pārlūkprogrammas.
Cietušajam ir jālejupielādē un jāinstalē Tor pārlūkprogramma, lai piekļūtu maksājumu vietnei. Pēc tam vietne pieprasa ievadīt personas identifikācijas atslēgu. Dotās atslēgas nodrošināšana ļauj upurim redzēt noziedznieku Bitcoin adresi, uz kuru ir jāpārskaita maksājums. Izpirkuma programmatūra darījuma pabeigšanai dod 40 stundas. Izpirkuma maksa pieaug, tiklīdz paiet 40 stundas.
5. Nav iespējams atšifrēt Bad Rabbit šifrētos failus
Diemžēl, lai kā jūs mēģinātu, nav iespējams atgūt failus, ko sabojājusi ļaunprogrammatūra Bad Rabbit. Joprojām ir zināma cerība, ka ļaunprātīgas programmatūras analītiķi varētu atrast izspiedējvīrusa koda trūkumu, kas varētu ļaut viņiem izveidot strādājošu atšifrēšanas rīku, tomēr šobrīd tādas cerības šķiet nereāli.
Pašlaik vienīgais iespējamais veids, kā atgūt šī jaunā izspiedējvīrusa varianta bojātos failus, ir izmantot datu dublējumu.[4] Tomēr vispirms jums būs jānoņem ļaunprogrammatūra Bad Rabbit. Ja neesat pazīstams ar mūsdienu labākajiem ļaunprātīgas programmatūras noņemšanas rīkiem, mēs ļoti iesakām izlasīt pārskatus par vietnēm, kas saistītas ar drošību, piemēram, 2-Spyware.com.