Программа-вымогатель Bad Rabbit - самый агрессивный и опасный компьютерный вирус на данный момент
WannaCry и Petya - не единственные вирусы, прославившиеся во время глобальных кибератак. Программа-вымогатель Bad Rabbit, который предположительно является новым вариантом Петя/NotPetya/ ExPetr нанесла серьезный ущерб России, Украине, Германии, Турции и другим странам мира 24 октября.
Программа-вымогатель шифрует все данные на компьютере и перезаписывает основную загрузочную запись. Следовательно, вредоносная программа перезагружает систему, а затем отображает на экране сообщение о выкупе. Новый вариант вредоносного ПО уже затронул ряд разных стран мира, и, учитывая скорость его распространения, необходимо знать основные факты о нем.
Информационный поток ускоряется, и пользователи компьютеров могут быстро потеряться, поскольку каждый новостной сайт предоставляет все больше и больше подробностей о вирусе. Специалисты команды VirusActivity подготовили информационный бюллетень о Кибератака Bad Rabbit, что это такое и что нужно знать пользователям компьютеров.
5 вещей, которые нужно знать о кибератаке BadRabbit
1. Программа-вымогатель распространяется через поддельные обновления Adobe Flash Player.
По словам экспертов, разработчики вымогателей использовали старый и эффективный метод распространения вымогателей, основанный на поддельных обновлениях Flash Player.[1] Похоже, что хакеры внедрили вредоносные коды JavaScript в HTML различных веб-сайтов (большинство из них Русский, болгарский или турецкий), и таким образом заставлял их показывать фальшивые всплывающие окна с предложением обновить устаревший Flash. Игрок.
В случае, если жертва нажимает кнопку «Установить», вредоносный сценарий перенаправляет жертву в домены с вредоносным ПО и загружает файл install_flash_player.exe. На этом этапе жертва все еще может отступить и удалить загруженный файл, чтобы избежать полного повреждения данных. К сожалению, выполнение указанного файла сразу же запускает процесс шифрования данных.
Программа-вымогатель не распространяется через уязвимость EternalBlue, как вирус NotPetya. Вместо этого Bad Rabbit может распространяться дальше через акции SMB.[2]
2. Bad Rabbit предположительно является улучшенной версией вымогателя Petya / NotPetya
Говоря о происхождении Bad Rabbit, мы должны упомянуть печально известную программу-вымогатель, известную как Petya / NotPetya / ExPetr.[3]. Оба вируса имеют сходства и различия, но наиболее заметной деталью является то, что оба они модифицируют основную загрузочную запись (MBR) и отображают пугающее сообщение на экране компьютера.
3. Новый вирус не является очистителем, а работает как настоящий шифровальщик-вымогатель, который делает файлы бесполезными, чтобы требовать выкуп.
Однако BadRabbit - это не вайпер. Хотя NotPetya изначально был идентифицирован как вымогатель, дальнейший анализ показал, что он навсегда повредил данные в целевой системе. Ущерб, нанесенный вредоносной полезной нагрузкой, не мог быть устранен никаким образом.
Однако в новом варианте файлы шифруются с помощью утилиты DiskCryptor. К именам файлов, закодированных Bad Rabbit, будет добавлено расширение .encrypted.
4. Программа-вымогатель просит заплатить 0,05 биткойна.
После шифрования файлов в целевой системе вредоносная программа изменяет MBR и перезагружает компьютер. В результате жертвы наталкиваются на устрашающее сообщение, написанное красным на черном фоне. Программа-вымогатель предлагает посетить подозрительный URL-адрес, к которому нельзя получить доступ через обычные веб-браузеры.
Жертва должна загрузить и установить браузер Tor, чтобы получить доступ к платежному сайту. Затем веб-сайт просит ввести личный идентификационный ключ. Предоставление данного ключа позволяет жертве видеть биткойн-адрес преступников, на который должен быть переведен платеж. Программа-вымогатель дает 40 часов на завершение транзакции. Цена выкупа увеличивается по прошествии 40 часов.
5. Невозможно расшифровать файлы, зашифрованные Bad Rabbit
К сожалению, как бы вы ни старались, восстановить файлы, поврежденные вредоносным ПО Bad Rabbit, невозможно. Остается надежда, что аналитики вредоносных программ могут найти изъян в коде вымогателя, который может позволяют им создать работающий инструмент дешифрования, однако на данный момент такие ожидания кажутся нереальный.
В настоящее время единственный возможный способ восстановить файлы, поврежденные этим новым вариантом вымогателя, - это использовать резервную копию данных.[4] Однако сначала вам нужно будет удалить вредоносную программу Bad Rabbit. Если вы не знакомы с лучшими в настоящее время средствами удаления вредоносных программ, мы настоятельно рекомендуем прочитать обзоры на сайтах, связанных с безопасностью, таких как 2-Spyware.com.