Новый вирус-вымогатель BadRabbit: как себя защитить

Источник материала:

Вчера несколько украинских и российских организаций подверглись атаке вируса BadRabbit. Позже специалисты Group-IB рассказали о механизмах вируса и способах защиты от него.

Эксперты лаборатории ESET зафиксировали «сотни атак» с использованием вируса Bad Rabbit. На Россию пришлось 65% атак, на Украину — 12,2%, Болгарию — 10,2, Турцию — 6,4, Японию — 3,8%, на другие страны — 2.4%.

По данным специалистов, вредоносная программа распространялась через взломанные интернет-ресурсы. Скрипт демонстрировал посетителям поддельное окно с предложением установить обновление Adobe Flash плеера. Если пользователь соглашался, после клика происходило скачивание и запуск вредоносного файла.

Злоумышленники требуют перевести 0,05 биткойна (по текущему курсу это около 283 долларов США). Также, на странице сайта шел отсчет времени до увеличения стоимости выкупа.

«В ходе анализа установлено, что „Bad Rabbit“ является модифицированной версией NotPetya с исправленными ошибками в алгоритме шифрования. Код „Bad Rabbit“ включает в себя части, полностью повторяющие NotPetya», — пишут специалисты Group-IB.

Специалисты нашли Kill Switch для вируса: необходимо создать файл C:\windows\infpub.dat и поставить ему права «только для чтения». После этого даже в случае заражения файлы не будут зашифрованы.

Также эксперты дали несколько советов тем, кто хочет себя обезопасить:

1. Оперативно изолируйте компьютеры, указанные в тикетах, если такие будут, а также убедитесь в актуальности и целостности резервных копий ключевых сетевых узлов.
2. Обновите операционные системы и системы безопасности.
3. Заблокируйте ip-адреса и доменные имена с которых происходило распространение вредоносных файлов
4.В части парольной политики:
— Настройками групповой политики запретите хранение паролей в LSA Dump в открытом виде.
— Смените все пароли на сложные для предотвращения брута по словарю.
5. Поставьте пользователям блокировку всплывающих окон.
6. Применяйте современные средства обнаружения вторжений и песочницу для анализа файлов.
7.Запретите выполнение следующих задач: viserion_, rhaegal, drogon
домен, через который распространялся вирус, перестал отвечать

Читайте также:

Как придумать «непробиваемый» пароль и легко его запомнить