Бір жылдағы үшінші ауқымды кибершабуыл. Бұл жолы вирустың жаңа атауы, Bad Rabbit және ескі әдеттері бар: деректерді шифрлау және құлыпты ашу үшін ақша талап ету. Ал Ресей, Украина және кейбір ТМД елдері әлі де зардап шеккен аймақта.

Bad Rabbit әдеттегі үлгі бойынша әрекет етеді: ол вирус немесе сілтеме тіркелген фишингтік электрондық поштаны жібереді. Атап айтқанда, шабуылдаушылар Microsoft техникалық қолдау көрсетуші ретінде әрекет ете алады және сізден тіркелген файлды шұғыл ашуды немесе сілтемені орындауды сұрауы мүмкін. Басқа тарату жолы бар - жалған жаңарту терезесі. Adobe FlashОйыншы. Екі жағдайда да, Bad Rabbit жақын арада сенсациялық сияқты әрекет етеді, ол жәбірленушінің деректерін шифрлайды және 2017 жылдың 25 қазанындағы айырбастау бағамы бойынша шамамен 280 долларды құрайтын 0,05 биткоин төлемін талап етеді. Жаңа індеттің құрбандары «Интерфакс», Санкт-Петербургтегі «Фонтанка» басылымы, Киев митрополиті, Одесса әуежайы және Украинаның Мәдениет министрлігі болды. Жаңа вирустың бірнеше танымал ресейлік банктерге шабуыл жасауға тырысқаны туралы деректер бар, бірақ бұл идея сәтсіз аяқталды. Сарапшылар Bad Rabbit-ті осы жылы тіркелген алдыңғы ірі шабуылдармен байланыстырады. Мұның дәлелі Diskcoder.D ұқсас шифрлау бағдарламалық құралы болып табылады, және бұл бірдей Петя шифрлаушысы, сәл ғана өзгертілген.

Өзіңізді жаман қояннан қалай қорғауға болады?

Сарапшылар иелеріне ұсынады Windows компьютерлері"infpub.dat" файлын жасаңыз және оны орналастырыңыз Windows қалтасы«С» дискісінде. Нәтижесінде жол келесідей болуы керек: C:\windows\infpub.dat. Мұны кәдімгі блокнот көмегімен жасауға болады, бірақ әкімші құқықтары бар. Мұны істеу үшін Блокнот бағдарламасына сілтемені тауып, тінтуірдің оң жақ түймешігімен басып, «Әкімші ретінде іске қосу» тармағын таңдаңыз.

Содан кейін бұл файлды C:\windows\ мекен-жайына, яғни «С» дискісінің Windows қалтасына сақтау керек. Файл атауы: infpub.dat, «dat» файл кеңейтімі болып табылады. Стандартты блокнот кеңейтімін «txt» «dat» дегенге ауыстыруды ұмытпаңыз. Файлды сақтағаннан кейін Windows қалтасын ашыңыз, жасалған infpub.dat файлын табыңыз, оны тінтуірдің оң жақ түймешігімен басып, «Сипаттар» тармағын таңдаңыз, оның төменгі жағында «Тек оқу» құсбелгісін қою керек. Осылайша, Bad Bunny вирусын жұқтырсаңыз да, ол сіздің деректеріңізді шифрлай алмайды.

Алдын алу шаралары

Белгілі бір ережелерді сақтау арқылы өзіңізді кез келген вирустан қорғай алатыныңызды ұмытпаңыз. Бұл тривиальды көрінуі мүмкін, бірақ мекенжай сізге күдікті болып көрінсе, электрондық пошталарды, олардың тіркемелерін ашпаңыз. Фишингтік электрондық хаттар, яғни басқа қызметтер ретінде жасырыну - жұқтырудың ең кең таралған әдісі. Нені ашатыныңызға абай болыңыз. Электрондық хатта тіркелген файл «Маңызды құжат.docx_______.exe» деп аталса, бұл файлды ашпау керек. Бұған қоса, сізде болуы керек сақтық көшірмелермаңызды файлдар. Мысалы, фотосуреттер немесе жұмыс құжаттары бар отбасылық мұрағатты көшіруге болады сыртқы дискнемесе қосулы бұлтты сақтау. Оны пайдалану қаншалықты маңызды екенін ұмытпаңыз лицензияланған нұсқасы Windows және жаңартуларды жүйелі түрде орнатыңыз. Қауіпсіздік патчтарын Microsoft корпорациясы үнемі шығарады және оларды орнатқандарда мұндай вирустармен проблемалар болмайды.

Ағымдағы жылдың қазан айының соңы корпоративтік және үй пайдаланушыларының компьютерлеріне белсенді түрде шабуыл жасаған жаңа вирустың пайда болуымен есте қалды. Жаңа вирускриптограф болып табылады және жаман қоян деп аталады, бұл жаман қоян дегенді білдіреді. Бұл вирус бірнеше ресейлік БАҚ сайттарына шабуыл жасау үшін қолданылған. Кейінірек бұл вирус украиндық кәсіпорындардың ақпараттық желілерінен табылды. Онда метрополитеннің ақпараттық желілеріне, түрлі министрліктерге, халықаралық әуежайларға, т.б. Біраз уақыттан кейін ұқсас вирустық шабуыл Германия мен Түркияда байқалды, дегенмен оның белсенділігі Украина мен Ресейге қарағанда айтарлықтай төмен болды.

Зиянды вирус - бұл компьютерге жеткенде файлдарды шифрлайтын арнайы плагин. Ақпарат шифрланған соң, шабуылдаушылар деректерінің шифрын шешкені үшін пайдаланушылардан сыйақы алуға тырысады.

Вирустың таралуы

ESET антивирустық бағдарламасы зертханасының мамандары вирустың таралу жолының алгоритмін талдап, бұл Петя вирусы сияқты жақында тараған өзгертілген вирус деген қорытындыға келді.

ESET зертханасының мамандары зиянды плагиндердің 1dnscontrol.com ресурсынан және IP5.61.37.209 IP мекенжайынан таратылғанын анықтады. Бірнеше басқа ресурстар да осы доменмен және IP-мен байланысты, соның ішінде security-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.

Сарапшылар бұл сайттардың иелері көптеген әртүрлі ресурстарды тіркегенін, мысалы, спам-хабарламалар арқылы жалған дәрі-дәрмектерді сатуға тырысатындарын зерттеді. ESET мамандарыДәл осы ресурстардың көмегімен спам жіберу мен фишингті қолдана отырып, негізгі кибершабуыл жасалғаны жоққа шығарылмайды.

Bad Rabbit вирусының инфекциясы қалай пайда болады?

Компьютерлік сот сараптамасы зертханасының мамандары вирустың пайдаланушылардың компьютерлеріне қалай енгенін тексерді. Көп жағдайда Bad Rabbit ransomware вирусы Adobe Flash жаңартуы ретінде таратылғаны анықталды. Яғни, вирус ешқандай осалдықтарды пайдаланбады операциялық жүйе, бірақ пайдаланушылардың өздері орнатқан, олар Adobe Flash плагинін жаңартып жатырмыз деп ойлап, оны орнатуды білмей мақұлдаған. Вирус кірген кезде жергілікті желі, ол жадтан логиндер мен құпия сөздерді ұрлап, басқа компьютерлік жүйелерге дербес тарады.

Хакерлер қалай ақша бопсалайды

Ransomware вирусы компьютерге орнатылғаннан кейін ол сақталған ақпаратты шифрлайды. Әрі қарай, пайдаланушылар деректеріне қол жеткізу үшін darknet желісіндегі белгілі бір сайтта төлем жасау керектігін көрсететін хабарлама алады. Ол үшін алдымен арнайы Tor браузерін орнату керек. Компьютердің құлпын ашу үшін шабуылдаушылар 0,05 биткоин көлемінде төлем талап етеді. Бүгінгі күні бір биткоин үшін 5 600 доллар, бұл компьютердің құлпын ашу үшін шамамен 280 долларды құрайды. Төлем жасау үшін пайдаланушыға 48 сағат уақыт беріледі. Осы кезеңнен кейін талап етілетін сома шабуылдаушының электрондық шотына аударылмаған болса, сома артады.

Өзіңізді вирустан қалай қорғауға болады

1. Bad Rabbit вирусын жұқтырудан өзіңізді қорғау үшін ақпараттық ортадан жоғарыда аталған домендерге кіруді блоктау керек.
2. Үй пайдаланушылары үшін ағымдағы жаңарту қажет Windows нұсқаларыжәне де антивирустық бағдарлама. Бұл жағдайда зиянды файл компьютерге орнату мүмкіндігін жоққа шығаратын ransomware вирусы ретінде анықталады.
3. Кірістірілген антивирустық операциялық жүйені пайдаланатын пайдаланушылар Windows жүйелері, бұл төлем бағдарламалық құралына қарсы қорғанысы бар. жылы жүзеге асырылады Windows қолданбасыҚорғаушы антивирус.
4. Касперский зертханасының антивирустық бағдарламасын әзірлеушілер барлық пайдаланушыларға деректерінің сақтық көшірмесін мерзімді түрде жасауға кеңес береді. Сонымен қатар, сарапшылар c:\windows\infpub.dat, c:\WINDOWS\cscc.dat файлдарының орындалуын блоктауды, сондай-ақ мүмкіндігінше WMI қызметін пайдалануға тыйым салуды ұсынады.

Қорытынды

Әрбір компьютер пайдаланушысы желіде жұмыс істегенде киберқауіпсіздік бірінші орында тұруы керек екенін есте ұстауы керек. Сондықтан сіз әрқашан тек дәлелденген ақпараттық ресурстарды пайдалануды және мұқият пайдалануды қамтамасыз етуіңіз керек электрондық поштаЖәне әлеуметтік медиа. Дәл осы ресурстар арқылы әртүрлі вирустар жиі таралады. Ақпараттық ортадағы негізгі мінез-құлық ережелері вирустық шабуыл кезінде туындайтын мәселелерді жоюға көмектеседі.

24 қазанда ресейлік БАҚ, сондай-ақ Украинаның көлік компаниялары мен мемлекеттік мекемелері Bad Rabbit ransomware шабуылына ұшырады. Ашық ақпарат көздерінің хабарлауынша, құрбандар арасында Киев метросы, Одесса әуежайы, Украинаның инфрақұрылым министрлігі, Интерфакс пен Фонтанка редакциялары бар.

ESET вирус зертханасының мәліметінше, Киев метросына жасалған шабуылда Petya деп аталатын шифрлағыштың жаңа модификациясы Diskcoder.D зиянды бағдарламасы қолданылған.

бойынша мамандар ақпараттық қауіпсіздік Group-IB шабуылдың бірнеше күн бойы дайындалғанын анықтады. ESET төлем бағдарламасы жалған Adobe Flash плагин жаңартуы арқылы компьютерге енетінін ескертеді. Осыдан кейін ол компьютерді жұқтырады және ондағы файлдарды шифрлайды. Содан кейін мониторда компьютер құлыпталғандығы туралы хабарлама пайда болады және файлдарды шифрдан шығару үшін Tor браузері арқылы Bad Rabbit веб-сайтына - caforssztxqzf2nm.onion сайтына өту керек.

WannaCry және NotPetya ransomware эпидемиялары уақытында жаңарту қажет екенін көрсетті. орнатылған бағдарламаларжәне жүйе, сондай-ақ онсыз қалмас үшін резервтік көшірмелерді жасаңыз маңызды ақпаратвирустық шабуылдан кейін.

Алайда, егер инфекция орын алса, Group-IB сарапшылары төлемді төлеуді ұсынбайды, себебі:

• осылайша сіз қылмыскерлерге көмектесесіз;
• Төлегендердің деректері қалпына келтірілді дегенге бізде дәлел жоқ.

Компьютеріңізді Bad Rabbit инфекциясынан қалай қорғауға болады?

Жаңа Bad Rabbit індетінің құрбаны болмау үшін Kaspersky Lab мамандары келесі әрекеттерді орындауды ұсынады:

Kaspersky Lab антивирустық шешімдерін пайдаланушылар үшін:

• Қауіпсіздік шешіміңізде құрамдастардың бар-жоғын тексеріңіз Kaspersky SecurityЖелі және әрекет мониторы (жүйе бақылаушысы). Олай болмаса, оны қосуды ұмытпаңыз.

Kaspersky Lab антивирустық шешімдерін пайдаланбайтындар үшін.

Кеше, 2017 жылдың 24 қазанында ірі ресейлік БАҚ, сондай-ақ Украинаның бірқатар мемлекеттік мекемелері белгісіз шабуылшылардың шабуылына ұшырады. Құрбандардың арасында Интерфакс, Фонтанка және кем дегенде тағы бір аты аталмаған интернет-басылым бар. Бұқаралық ақпарат құралдарынан кейін мәселелер де айтылды Халықаралық әуежай«Одесса», Киев метрополитені және Украинаның инфрақұрылым министрлігі. Group-IB сарапшыларының мәлімдемесіне сәйкес, қылмыскерлер де банктік инфрақұрылымға шабуыл жасамақ болған, бірақ бұл әрекеттері сәтсіз аяқталды. ESET мамандары, өз кезегінде, шабуылдар Болгария, Түркия және Жапония пайдаланушыларына әсер етті деп мәлімдейді.

Белгілі болғандай, компаниялар мен мемлекеттік органдардың жұмысындағы іркіліс DDoS-шабуылдары емес, Bad Rabbit (кейбір сарапшылар BadRabbit-ті бос орынсыз жазғанды ​​жөн көреді) деп аталатын төлемдік бағдарламалық құралдың әсерінен болған.

Кеше зиянды бағдарлама және оның жұмыс істеу механизмдері туралы аз мәлімет болды: төлемдік бағдарлама 0,05 биткоин төлемін талап етіп жатқаны хабарланды, сонымен қатар Group-IB сарапшылары шабуылға бірнеше күн бойы дайындалып жатқанын айтты. Осылайша, шабуылдаушылардың веб-сайтында екі JS сценарийі табылды және серверден алынған ақпарат бойынша олардың біреуі 2017 жылдың 19 қазанында жаңартылды.

Қазір, шабуылдар басталғаннан бері бір күн өтпесе де, төлем бағдарламалық құралын талдауды әлемдегі барлық дерлік ақпараттық қауіпсіздік компанияларының мамандары жүргізді. Сонымен, Bad Rabbit дегеніміз не және біз WannaCry немесе NotPetya сияқты жаңа «қаржылық бағдарлама эпидемиясын» күтуіміз керек пе?

Жалған Flash жаңартулары туралы болған кезде, Bad Rabbit медианың үлкен іркілістерін қалай тудырды? Сәйкес ESET , EmsisoftЖәне Fox-IT, жұқтырғаннан кейін зиянды бағдарлама LSASS жүйесінен құпия сөздерді алу үшін Mimikatz утилитасын пайдаланды, сонымен қатар ең көп таралған логиндер мен құпия сөздердің тізімі болды. Зиянды бағдарлама мұның барлығын SMB және WebDAV арқылы вирус жұққан құрылғымен бір желіде орналасқан басқа серверлер мен жұмыс станцияларына тарату үшін пайдаланды. Бұл ретте жоғарыда аталған компаниялардың сарапшылары мен Cisco Talos қызметкерлері осылай деп есептейді бұл жағдайда SMB кемшіліктерін пайдаланатын барлау агенттіктерінен ұрланған құралдар болған жоқ. Еске сала кетейін WannaCry вирустарыжәне NotPetya осы эксплойт арқылы таратылды.

Дегенмен, сарапшылар әлі күнге дейін Bad Rabbit пен Петяның (NotPetya) кейбір ұқсастықтарын таба алды. Осылайша, төлем бағдарламасы ашық бастапқы DiskCryptor көмегімен пайдаланушы файлдарын шифрлап қана қоймайды, бірақ MBR (Master Boot Record) өзгертеді, содан кейін ол компьютерді қайта жүктейді және төлемді талап ететін хабарды көрсетеді.

Шабуылшылардың талаптары бар хабарлама NotPetya операторларының хабарламасымен дерлік бірдей болғанымен, сарапшылардың Bad Rabbit пен NotPetya арасындағы байланысқа қатысты пікірлері сәл өзгеше. Осылайша, Intezer сарапшылары зиянды бағдарламаның бастапқы коды екенін есептеді

1980 жылдардың аяғында Джозеф Попп жазған СПИД вирусы («PC Cyborg») «лицензияны жаңарту» үшін шамамен 200 доллар төлеуді талап ететін каталогтар мен шифрланған файлдарды жасырды. Бастапқыда ransomware жұмыс істейтін компьютерлерді пайдаланатын қарапайым адамдарға ғана бағытталған Windows басқару, бірақ қазір қауіптің өзі бизнес үшін күрделі мәселеге айналды: көбірек бағдарламалар пайда болуда, олар арзанырақ және қолжетімді бола бастады. Зиянды бағдарламаны пайдаланып бопсалау ЕО елдерінің 2/3 елдеріндегі басты киберқауіп болып табылады. Ең кең тараған төлемдік бағдарламалық қамтамасыз ету вирустарының бірі CryptoLocker 2013 жылдың қыркүйегінен бері ЕО елдеріндегі ширек миллионнан астам компьютерді жұқтырды.

2016 жылы ransomware шабуылдарының саны күрт өсті — сарапшылардың пікірінше, алдыңғы жылмен салыстырғанда жүз еседен астам. Бұл өсіп келе жатқан үрдіс және біз көргеніміздей, мүлдем басқа компаниялар мен ұйымдар шабуылға ұшырайды. Қауіп коммерциялық емес ұйымдар үшін де өзекті. Әрбір негізгі шабуыл үшін зиянды бағдарламалар антивирустық қорғанысты «өткізу» үшін шабуылдаушылармен жаңартылып, сыналатындықтан, антивирустар, әдетте, оларға қарсы дәрменсіз.

12 қазанда Украинаның Қауіпсіздік қызметі маусым айындағы ransomware індетіне ұқсас мемлекеттік органдар мен жеке компанияларға жаңа ауқымды кибершабуылдардың ықтималдығы туралы ескертті. Петя емес. Украина барлау қызметінің хабарлауынша, «шабуыл жаңартуларды, соның ішінде жалпыға қолжетімді қолданбалы бағдарламалық жасақтаманы пайдалану арқылы жасалуы мүмкін». Шабуыл болған жағдайда еске түсірейік Петя емес,зерттеушілер BlackEnergy тобымен байланысқан, алғашқы құрбандар пайдаланатын компаниялар болды бағдарламалық қамтамасыз ету«M.E.Doc» құжат айналымы жүйесінің украиндық әзірлеушісі.

Одан кейін алғашқы 2 сағатта энергетика, телекоммуникация және қаржы компаниялары шабуылға ұшырады: «Запорожьеобленерго», «Днепроэнерго», «Днепр электроэнергетикалық жүйесі», «Монделез Интернэшнл», «Ошадбанк», «Марс», «Нова Пошта», «Нивея», TESA, Киев метросы, Министрлер Кабинетінің компьютерлері және Украина Үкіметі, «Ашан» дүкендері, украин операторлары («Kyivstar», LifeCell, «UkrTeleCom»), Приватбанк, Борисполь әуежайы.

Сәл бұрын, 2017 жылдың мамыр айында WannaCry ransomware вирусы 150 елдегі 200 000 компьютерге шабуыл жасады. Вирус Қытайдағы университеттер, Франциядағы Renault және Жапониядағы Nissan зауыттары, Испаниядағы Telefonica телекоммуникациялық компаниясы және Германиядағы Deutsche Bahn теміржол операторы арқылы тарады. Ұлыбритания клиникаларында компьютерлердің бұғатталуына байланысты операцияларды кейінге қалдыруға тура келді, ал Ресей Ішкі істер министрлігінің аймақтық бөлімшелері жүргізуші куәлігін бере алмады. Зерттеушілер шабуылдың артында солтүстіккореялық Лазарус хакерлері тұрғанын айтты.

2017 жылы шифрлау вирустары жаңа деңгейге көтерілді: американдық барлау қызметтерінің арсеналдарындағы құралдарды және киберқылмыскерлердің жаңа тарату механизмдерін пайдалануы халықаралық індеттерге әкелді, олардың ең үлкені WannaCry және NotPetya болды. Инфекцияның ауқымына қарамастан, төлемдік бағдарламалық қамтамасыз етудің өзі салыстырмалы түрде шамалы сомаларды жинады - бұл ақша табу әрекеті емес, кәсіпорындардың, мемлекеттік органдардың және жеке компаниялардың маңызды инфрақұрылымдық желілерін қорғау деңгейін сынау.