Вимагальник Bad Rabbit є найагресивнішим і найнебезпечнішим комп’ютерним вірусом на даний момент
WannaCry і Petya – не єдині віруси, які заслужили славу під час глобальних кібератак. Програма-вимагач Bad Rabbit, який, як підозрюють, є новим варіантом Петя/Не Петя/ExPetr, 24 жовтня сильно вдарила Росія, Україна, Німеччина, Туреччина та інші країни світу.
Програма-вимагач шифрує всі дані на комп’ютері та перезаписує основний завантажувальний запис. Таким чином, зловмисне програмне забезпечення перезавантажує систему, а потім відображає на екрані повідомлення про викуп. Новий варіант зловмисного програмного забезпечення вже торкнувся ряду різних країн по всьому світу, і, враховуючи, наскільки швидко він поширюється, необхідно знати основні факти про нього.
Інформаційний потік прискорюється, і користувачі комп’ютерів можуть швидко заблукати, оскільки кожен новинний сайт містить все більше і більше подробиць про вірус. Експерти команди VirusActivity підготували інформаційний бюлетень про Кібератака Bad Rabbit, що це таке і що потрібно знати користувачам комп’ютерів.
5 речей, які потрібно знати про кібератаку BadRabbit
1. Програма-вимагач поширюється через підроблені оновлення Adobe Flash Player.
За словами експертів, розробники програм-вимагачів використовували старий і ефективний метод розповсюдження програм-вимагачів, який базується на підроблених оновленнях Flash Player.[1] Схоже, що хакери ввели шкідливі коди JavaScript в HTML різних веб-сайтів (більшість з них російською, болгарською чи турецькою) і таким чином змусили їх показувати фальшиві спливаючі вікна з пропозицією оновити застарілий Flash Гравець.
Якщо жертва натискає кнопку «Встановити», шкідливий сценарій перенаправляє жертву на домени, завантажені шкідливим програмним забезпеченням, і завантажує файл install_flash_player.exe. На цьому етапі жертва все ще може відступити та видалити завантажений файл, щоб уникнути повного пошкодження даних. На жаль, виконання зазначеного файлу відразу ж починає процес шифрування даних.
Програма-вимагач не поширюється за допомогою вразливості EternalBlue, як вірус NotPetya. Натомість Bad Rabbit може розповсюджуватися далі через акції малого та середнього бізнесу.[2]
2. Підозрюється, що Bad Rabbit є покращеним варіантом вимагача Petya/NotPetya
Говорячи про походження Bad Rabbit, ми повинні згадати сумнозвісне програмне забезпечення-вимагач, відоме як Petya/NotPetya/ExPetr[3]. Обидва віруси мають схожість і відмінність, але найбільш помітною деталлю є те, що обидва вони змінюють основний завантажувальний запис (MBR) і відображають лякаюче повідомлення на екрані комп’ютера.
3. Новий вірус не є стиральником і працює як справжній крипто-вимагач, який робить файли марними, щоб вимагати викуп.
BadRabbit, однак, не є склоочисником. Хоча NotPetya спочатку було ідентифіковано як програмне забезпечення-вимагач, подальший аналіз показав, що він назавжди зіпсував дані цільової системи. Збиток, занесений зловмисним корисним навантаженням, не міг бути відмінений жодним чином.
Новий варіант, однак, шифрує файли за допомогою утиліти DiskCryptor. До імен файлів, закодованих Bad Rabbit, буде додано розширення .encrypted.
4. Програма-вимагач просить заплатити 0,05 біткойна
Після шифрування файлів у цільовій системі зловмисне програмне забезпечення змінює MBR і перезавантажує комп’ютер. В результаті жертви натикаються на страшне повідомлення, написане червоним кольором на чорному тлі. Програма-вимагач пропонує відвідати підозрілу URL-адресу, до якої неможливо отримати доступ через звичайні веб-браузери.
Потерпілому потрібно завантажити та встановити браузер Tor, щоб отримати доступ до платіжного веб-сайту. Потім веб-сайт просить ввести персональний ідентифікаційний ключ. Надання наданого ключа дає змогу жертві побачити біткойн-адресу злочинця, куди потрібно переказати платіж. Програма-вимагач дає 40 годин для завершення транзакції. Ціна викупу зростає, щойно минає 40 годин.
5. Неможливо розшифрувати файли, зашифровані Bad Rabbit
На жаль, як би ви не старалися, неможливо відновити файли, пошкоджені шкідливим програмним забезпеченням Bad Rabbit. Ще залишається певна надія, що аналітики шкідливого програмного забезпечення можуть виявити недолік у коді програм-вимагачів, який міг би знайти дозволяють створити робочий інструмент розшифровки, однак на даний момент такі очікування здаються нереально.
Наразі єдиним можливим способом відновлення файлів, пошкоджених цим новим варіантом програм-вимагачів, є використання резервної копії даних.[4] Однак спочатку вам потрібно буде видалити шкідливе програмне забезпечення Bad Rabbit. Якщо ви не знайомі з найкращими інструментами для видалення шкідливих програм на сьогоднішній день, ми настійно радимо прочитати огляди на сайтах, пов’язаних з безпекою, як-от 2-Spyware.com.