Новый вирус Bad Rabbit: как себя защитить

Сегодня около 13:00 в Украине началась массовая хакерская атака на инфраструктурные объекты. Сайт Мининфраструктуры не работает до сих пор, информационная система Одесского аэропорта и банковские сервисы Киевского метро также работают со сбоями.

Создатели самого вируса называют его Bad Rabbit. Заражение Bad Rabbit напоминает ситуацию с Petya.A в мае 2017 года: от него пострадали в основном компании в России и в Украине, распространение вируса происходило очень стремительно, хакеры требовали выкуп. Но в Group-IB говорят, что сам Bad Rabbit не похож на Petya.A или WannaCry — сейчас специалисты изучают зараженные компьютеры.

Как пишет TJ, вирус заражает компьютер, шифруя на нем файлы. Получить доступ к ним нельзя. На экране компьютера отображается подробное сообщение с инструкциями: в Telegram-канале Group-IB опубликовали фото примеров таких зараженных компьютеров.

В инструкции говорится, что для расшифровки файлов нужно лишь ввести пароль. Но чтобы его получить, нужно проделать немалый путь. Во-первых, зайти на специальный сайт по адресу caforssztxqzf2nm.onion в даркнете — для этого потребуется браузер Tor. Судя по опубликованным Group-IB фотографиям, сайт везде указан одинаковый.

На сайте и указано название вируса — Bad Rabbit. Чтобы получить пароль на расшифровку данных, хакеры требуют ввести «персональный код установки» — длинный шифр из сообщения, выводимого на экране компьютера. После этого появится адрес биткоин-кошелька, на который требуется перевести деньги.

Судя по сайту Bad Rabbit, вымогатели требуют выкуп в 0,05 биткоина за каждый компьютер. По курсу на 24 октября это примерно $283 (Petya.A тоже требовал порядка $300).

Опять же, судя по сайту вируса, вымогатели дают всего двое суток (48 часов) на выплату первоначального выкупа. После истечения этого срока цена за расшифровку файлов вырастет, насколько — неизвестно.

Проверить адрес биткоин-кошелька, на который хакеры получают средства, при помощи доступных кодов с фотографий Group-IB не вышло. Возможно они уже были использованы, возможно, мы допустили ошибку — все-таки код длиной 356 символов.

Аналитики из ESET утверждают, что вирус Bad Rabbit распространяется под видом фейкового обновления плагина Adobe Flash.

Как защитить компьютер от вируса Bad Rabbit

Как пишет UBR.ua, вирус атаковал не только объекты инфраструктуры, но и предприятия частного сектора. А целью атаки является вымогательство. «В результате работы вируса все файлы на рабочем столе переименовываются и добавляется расширение decription. За разблокировку просят 0,05 биткоинов (примерно $285). Платить не советую. По информации пострадали станции под управлением ОС Windows XP, 7, 10», – говорит глава правления Интернет Ассоциации Украины Александр Федиенко.

Для минимизации рисков заражения пользователям настоятельно рекомендуют:

• Удалять письма (не открывая их) с вложениями от незнакомых и непроверенных адресов;
• Если у вас MS Outlook и MS Exchange, не открывайте файлы непосредственно в приложениях MS Office, обязательно пользуйтесь средствами предварительного просмотра содержимого;
• Внимательно читайте системные предупреждения и сообщения. При возникновении вопросов – сразу обращайтесь к специалистам.

Если вы системный администратор, стоит выполнить как минимум следующее:

• Настройте вашу почтовую систему на перемещение подозрительных вложений в карантин с последующим углубленным сканированием;
• Запретите доступ в интернет для процессов WScript.exe, CScript.exe, Powershell.exe;
• Запретите чтение/запись в каталогах %appdata% и %temp% для файлов *.JS*, *.VB*, *.WS*, *.EXE

Безусловно, эти рекомендации – не панацея, говорят эксперты, поскольку IT-безопасность – комплексный и серьезный вопрос, но они помогут избежать заражения системы.

«Вести«