Бад Раббит рансомваре је најагресивнији и најопаснији компјутерски вирус у овом тренутку
ВаннаЦри и Петиа нису једини вируси који су стекли славу током глобалних сајбер напада. Бад Раббит рансомваре, за коју се сумња да је нова варијанта Петиа/НотПетиа/ЕкПетр, тешко је погодио Русију, Украјину, Немачку, Турску и друге земље широм света 24. октобра.
Рансомваре шифрује све податке на рачунару и поново пише главни запис за покретање. Сходно томе, злонамерни софтвер поново покреће систем, а затим приказује напомену о откупнини на екрану. Нова варијанта злонамерног софтвера је већ утицала на бројне земље широм света, а с обзиром на то колико се брзо шири, неопходно је знати главне чињенице о њој.
Проток информација се убрзава, а корисници рачунара могу брзо да се изгубе јер сваки сајт са вестима пружа све више детаља о вирусу. Стручњаци из ВирусАцтивити тима су припремили информативни лист о Сајбер напад Бад Раббит-а, шта је то и шта корисници рачунара морају да знају.
Топ 5 ствари које треба знати о БадРаббит сајбер нападу
1. Рансомвер се шири путем лажних ажурирања Адобе Фласх Плаиер-а.
Према речима стручњака, програмери рансомваре-а су користили стару и ефикасну методу дистрибуције рансомваре-а која се ослања на лажна ажурирања Фласх Плаиер-а.[1] Изгледа да су хакери убацили злонамерне ЈаваСцрипт кодове у ХТМЛ различитих веб локација (већина њих је руски, бугарски или турски) и на тај начин их је натерао да приказују лажне искачуће прозоре који сугеришу да ажурирају застарели Фласх Плаиер.
У случају да жртва кликне на дугме „Инсталирај“, злонамерна скрипта преусмерава жртву на домене пуне злонамерног софтвера и преузима датотеку инсталл_фласх_плаиер.еке. У овом тренутку, жртва и даље може да се повуче и избрише преузету датотеку како би избегла потпуну корупцију података. Нажалост, извршење поменуте датотеке одмах започиње процес шифровања података.
Рансомвер се не шири помоћу ЕтерналБлуе рањивости као што је то учинио вирус НотПетиа. Уместо тога, Бад Раббит је способан да се даље шири преко СМБ акција.[2]
2. За Бад Раббит се сумња да је побољшана варијанта Петиа/НотПетиа рансомваре-а
Говорећи о пореклу Бад Раббит-а, морамо поменути злогласни рансомваре познат као Петиа/НотПетиа/ЕкПетр[3]. Оба вируса имају сличности и разлике, али најуочљивији детаљ је да оба модификују Мастер Боот Рецорд (МБР) и приказују застрашујућу поруку на екрану рачунара.
3. Нови вирус није брисач и ради као прави крипто-рансомвер који чини датотеке бескорисним да захтевају откуп.
БадРаббит, међутим, није брисач. Иако је НотПетиа првобитно идентификован као рансомваре, даља анализа је открила да је трајно оштетила податке на циљном систему. Штета коју је носио злонамерни терет није могла бити поништена ни на који начин.
Нова варијанта, међутим, шифрује датотеке помоћу услужног програма ДискЦриптор. Датотеке које је кодирао Бад Раббит имаће .енцриптед екстензију датотеке придодату њиховим именима.
4. Рансомвер тражи да плати 0,05 биткоина
Након шифровања датотека на циљном систему, малвер мења МБР и поново покреће рачунар. Као резултат тога, жртве наилазе на поруку застрашујућег изгледа исписану црвеном бојом на црној позадини. Рансомвер предлаже да посетите УРЛ адресу сумњивог изгледа којој се не може приступити путем уобичајених веб прегледача.
Жртва мора да преузме и инсталира Тор претраживач да би приступила веб локацији за плаћање. Веб локација затим тражи да унесете лични идентификациони кључ. Пружање датог кључа омогућава жртви да види Битцоин адресу криминалца на коју се уплата мора пренети. Рансомвер даје 40 сати да заврши трансакцију. Цена откупа расте чим прође 40 сати.
5. Нема начина да дешифрујете датотеке које је шифровао Бад Раббит
Нажалост, без обзира колико се трудили, не постоји начин да повратите датотеке оштећене злонамерним софтвером Бад Раббит. Остаје још мало наде да би аналитичари злонамерног софтвера могли пронаћи грешку у коду за рансомвер који би могао дозволити им да креирају радни алат за дешифровање, међутим, у овом тренутку изгледају таква очекивања нереално.
Тренутно, једини могући начин за опоравак датотека оштећених овом новом варијантом рансомваре-а је коришћење резервне копије података.[4] Међутим, прво ћете морати да уклоните злонамерни софтвер Бад Раббит. Ако нисте упознати са најбољим алатима за уклањање злонамерног софтвера данас, препоручујемо вам да прочитате рецензије на веб локацијама које се односе на безбедност, као што су 2-Спиваре.цом.