Шифровальщик Bad Rabbit

bad rabbit

Новая эпидемия вируса-шифровальщика. На момент написания статьи вспышки заражения вымогательским ПО Bad Rabbit уже были зафиксированы в России, Украине, Болгарии и Турции.

В числе пострадавших от деятельности вымогателя оказались российские информационные агентства «Интерфакс» и «Фонтанка», министерство инфраструктуры Украины, Государственная авиационная служба Украины, компьютерная система киевского метро, а также аэропорт города «Одесса». Я думаю, список пострадавших от вируса в ближайшее время будет стремительно пополняться.

Еще по теме: Как определить шифровальщик

Распространение Bad Rabbit

Скорость распространения BadRabbit аналогична заражению WannaCry и NotPetya.

Изначально Бэд Рабит распространялся через фальшивые пакеты обновления Flash использую социальную инженерию. Также инструментарий шифровальщика способен заражать компьютеры в локальной сети через SMB.

Это может объяснить, почему он так быстро распространился по нескольким организациям за такое небольшое время.

Как работает Bad Rabbit

Вирус использует утилиту Mimikatz для извлечения учетных данных из памяти локального компьютера, а также ищет активные учетные записи администратора. Он пытается получить доступ к серверам и рабочим станциям в локальной сети используя SMB и WebDAV.

Поведение вымогателя Bad Rabbit очень похоже на своих предшественников Petya и NotPetya. Сначала он шифрует файлы на компьютере пользователя, а затем заменяет MBR (Master Boot Record). Подробнее о защите главной загрузочной записи, вы можете прочитать в статье «Защита MBR».

1. Во время запуска вируса, на диске компьютера появляется файл динамической библиотеки C:\Windows\infpub.dat, который запускается через rundll32.

2. После этого файл infpub.dat устанавливает в системе исполняемый файл C:\Windows\dispci.exe и создает задание планировщика для его запуска.

bad rabbit как защититься
Задание Rhaegal в планировщике задач

3. Теперь создается еще одно задание планировщика, на это раз для перезагрузки компьютера.

bad rabbit как защититься
Задание Drogon в планировщика задач

Как только Bad Rabbit выполнил свою работу, он перезагружает компьютер жертвы и отображает требование об оплате. Баннер почти идентичен тому, который злоумышлении использовали в июньской вспышке вымогателя NotPetya, но несмотря на это, сам код BadRabbit во многом отличается. Специалисты компании Intezer утверждают, что существует только 13% повторного использования кода между Bad Rabbit и NotPetya.

После заражения компьютера и завершения шифрования файлов, Bad Rabbit отправляет жертву на сайт Tor.  Для расшифровки данных хакеры требуют заплатить 0,05 биткойн (около 280 долларов США). После истечении 40 часов плата увеличивается.

шифровальщик bad rabbit
Сайт Bad Rabbit в сети Tor

Ransomware Bad Rabbit основан на утилите шифрования DiskCryptor. Зловред запускает три запланированные задачи под названием Дрогон, Рагаль и Визирион (имя трех драконов из  сериала «Игра престолов»).

Это не первый случай упоминания сериала вымогательским ПО. Один из сценариев, криптовымогателя Locky содержал что-то подобное.

Файлы криптовымогателя

Шифрование файлов:

Изменение реестра:

Шифровальщик получил название Ransom:Win32/Tibbar.A

Как защититься от BadRabbit

  • Необходимо создать в папке C:\Windows\ файл infpub.dat и в свойствах файла отметить галочку «Только для чтения».
  • Мониторить создания новых заданий в планировщике (EventID 106).
  • Ограничить использование программ для запрета запуска следующих файлов (по имени и хэшу):

install_flash_player.exe

c:\windows\infpub.dat

c:\windows\dispci.exe

cscc.dat  (x86/x64)

Рекомендации по защите от Bad Rabbit

  • Не устанавливать предлагаемое на сайтах обновление Flash. Еще лучше полностью его удалить.
  • Не отключать UAC.
  • Защитить MBR (ссылка выше).
  • Обновить Windows и установленные программы защиты (антивирусы, брандмауэры и т.д.).
  • Сделать резервные копии операционной системы.
  • Хранить важные данные на съемном носителе без постоянного подключения к компьютеру.
  • Проверять все скаченные файлы и программы онлайн антивирусом, и перед установкой на компьютер тестировать с помощью виртуальной машины.

Самое важное при защите от BadRabbit — это создать файл infpub.dat и изменить его свойства. Все остальные рекомендации имеют меньшую ценность. На этом все. Всем удачи и информационной безопасности!

Внимание! Найден способ расшифровки зашифрованных криптовымогателем файлов. Подробнее о том как расшифровать зашифрованные файлы вы можете узнать из статьи «Дешифратор Bad Rabbit»

ВКонтакте
OK
Telegram
WhatsApp
Viber

6 комментариев

  1. Mixo

    Что означает EventID 106?

    • Falcon

      EventID 106 в планировщике задач говорит о том, что была создана новая задача.

  2. VitVit

    Можно еще изменить свойства файла C:\Windows\cscc.dat

    • Катя

      В папке windows нет файла cscc.dat

    • monik

      так создай его!

  3. Алекс

    Спасибо! Очень во время!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *