Pangatlong malakihang cyber attack sa isang taon. Sa pagkakataong ito, ang virus ay may bagong pangalan, Bad Rabbit, at mga lumang gawi: pag-encrypt ng data at pangingikil ng pera para sa pag-unlock. At ang Russia, Ukraine at ilang iba pang mga bansa ng CIS ay nasa apektadong lugar pa rin.

Ang Bad Rabbit ay sumusunod sa karaniwang pattern: nagpapadala ito ng phishing email na may naka-attach na virus o link. Sa partikular, ang mga umaatake ay maaaring magpanggap bilang teknikal na suporta ng Microsoft at hilingin sa iyong agarang buksan ang isang naka-attach na file o sundin ang isang link. May isa pang ruta ng pamamahagi - isang pekeng window ng pag-update. Adobe Flash Manlalaro. Sa parehong mga kaso, ang Bad Rabbit ay kumikilos sa parehong paraan tulad ng kahindik-hindik hindi pa matagal na ang nakalipas, ito ay nag-encrypt ng data ng biktima at humihingi ng ransom na 0.05 bitcoin, na humigit-kumulang $280 sa exchange rate noong Oktubre 25, 2017. Ang mga biktima ng bagong epidemya ay Interfax, ang St. Petersburg publikasyon Fontanka, ang Kiev Metropolitan, ang Odessa airport at ang Ministri ng Kultura ng Ukraine. May katibayan na sinubukan ng bagong virus na atakehin ang ilang kilalang mga bangko sa Russia, ngunit nabigo ang ideyang ito. Iniuugnay ng mga eksperto ang Bad Rabbit sa mga nakaraang malalaking pag-atake na naitala ngayong taon. Ang patunay nito ay ang katulad na software ng pag-encrypt na Diskcoder.D, at ito ay ang parehong Petya encryptor, bahagyang binago.

Paano protektahan ang iyong sarili mula sa Bad Rabbit?

Inirerekomenda ng mga eksperto sa mga may-ari Mga Windows computer lumikha ng file na "infpub.dat" at ilagay ito Windows folder sa drive "C". Bilang resulta, ang landas ay dapat magmukhang ganito: C:\windows\infpub.dat. Magagawa ito gamit ang isang regular na notepad, ngunit may mga karapatan ng Administrator. Upang gawin ito, maghanap ng isang link sa programa ng Notepad, i-right-click at piliin ang "Run as Administrator".

Pagkatapos ay kailangan mo lamang i-save ang file na ito sa address C:\windows\, iyon ay, sa folder ng Windows sa drive na "C". Pangalan ng file: infpub.dat, na ang "dat" ang extension ng file. Huwag kalimutang palitan ang karaniwang extension ng notepad na "txt" ng "dat". Pagkatapos mong i-save ang file, buksan ang folder ng Windows, hanapin ang nilikha na infpub.dat file, i-right-click ito at piliin ang "Properties", kung saan sa pinakailalim kailangan mong suriin ang checkbox na "Read Only". Sa ganitong paraan, kahit na mahuli mo ang Bad Bunny virus, hindi nito magagawang i-encrypt ang iyong data.

Mga hakbang sa pag-iwas

Huwag kalimutan na maaari mong protektahan ang iyong sarili mula sa anumang virus sa pamamagitan lamang ng pagsunod sa ilang mga patakaran. Maaaring mukhang walang halaga, ngunit hindi kailanman magbukas ng mga email, lalo na ang kanilang mga attachment, kung ang address ay tila kahina-hinala sa iyo. Ang mga email sa phishing, iyon ay, pagbabalatkayo bilang iba pang mga serbisyo, ay ang pinakakaraniwang paraan ng impeksyon. Mag-ingat sa bubuksan mo. Kung sa isang email ang naka-attach na file ay tinatawag na "Mahalagang dokumento.docx_______.exe," kung gayon ay tiyak na hindi mo dapat buksan ang file na ito. Bilang karagdagan, kailangan mong magkaroon mga backup mahahalagang file. Halimbawa, ang archive ng pamilya na may mga litrato o gumaganang dokumento ay maaaring i-duplicate panlabas na drive o sa imbakan ng ulap. Huwag kalimutan kung gaano kahalaga ang paggamit lisensyadong bersyon Windows at regular na mag-install ng mga update. Ang mga patch ng seguridad ay regular na inilabas ng Microsoft at ang mga nag-i-install ng mga ito ay walang mga problema sa mga naturang virus.

Ang katapusan ng Oktubre sa taong ito ay minarkahan ng paglitaw ng isang bagong virus na aktibong umaatake sa mga computer ng mga corporate at home user. Bagong virus ay isang cryptographer at tinatawag na Bad Rabbit, na nangangahulugang masamang kuneho. Ginamit ang virus na ito sa pag-atake sa mga website ng ilang Russian media outlet. Nang maglaon, natuklasan ang virus sa mga network ng impormasyon ng mga negosyong Ukrainian. Doon, inatake ang mga information network ng metro, iba't ibang ministries, international airports, atbp. Maya-maya, ang isang katulad na pag-atake ng virus ay naobserbahan sa Germany at Turkey, kahit na ang aktibidad nito ay makabuluhang mas mababa kaysa sa Ukraine at Russia.

Ang isang nakakahamak na virus ay isang espesyal na plugin na, sa sandaling maabot nito ang isang computer, i-encrypt ang mga file nito. Pagkatapos ma-encrypt ang impormasyon, sinusubukan ng mga attacker na makakuha ng mga reward mula sa mga user para sa pag-decryption ng kanilang data.

Pagkalat ng virus

Sinuri ng mga espesyalista mula sa laboratoryo ng programang antivirus ng ESET ang algorithm ng landas ng pagkalat ng virus at dumating sa konklusyon na ito ay isang binagong virus na kumakalat kamakailan, tulad ng Petya virus.

Natukoy ng mga espesyalista sa laboratoryo ng ESET na ang mga nakakahamak na plugin ay ipinamahagi mula sa mapagkukunang 1dnscontrol.com at IP address na IP5.61.37.209. Ang ilang iba pang mapagkukunan ay nauugnay din sa domain at IP na ito, kabilang ang secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.

Inimbestigahan ng mga eksperto na ang mga may-ari ng mga site na ito ay nagrehistro ng maraming iba't ibang mga mapagkukunan, halimbawa, ang mga kung saan sinusubukan nilang magbenta ng mga pekeng gamot gamit ang mga spam mail. Mga Espesyalista sa ESET Hindi ibinukod na sa tulong ng mga mapagkukunang ito, gamit ang spam mailing at phishing, na isinagawa ang pangunahing pag-atake sa cyber.

Paano nangyayari ang impeksyon ng Bad Rabbit virus?

Nagsagawa ng pagsisiyasat ang mga espesyalista mula sa Computer Forensics Laboratory kung paano napunta ang virus sa mga computer ng mga user. Natuklasan na sa karamihan ng mga kaso, ang Bad Rabbit ransomware virus ay ipinamahagi bilang isang update sa Adobe Flash. Ibig sabihin, hindi sinamantala ng virus ang anumang mga kahinaan operating system, ngunit na-install mismo ng mga user, na, nang hindi nalalaman, ay inaprubahan ang pag-install nito, sa pag-aakalang ina-update nila ang Adobe Flash plugin. Nang pumasok ang virus lokal na network, ninakaw nito ang mga login at password mula sa memorya at independiyenteng kumalat sa iba pang mga computer system.

Paano nangingikil ng pera ang mga hacker

Matapos ma-install ang ransomware virus sa computer, ine-encrypt nito ang nakaimbak na impormasyon. Susunod, ang mga gumagamit ay makakatanggap ng isang mensahe na nagpapahiwatig na upang makakuha ng access sa kanilang data, dapat silang magbayad sa isang tinukoy na site sa darknet. Upang gawin ito, kailangan mo munang mag-install ng isang espesyal na browser ng Tor. Upang ma-unlock ang computer, ang mga umaatake ay nangingikil ng bayad sa halagang 0.05 bitcoin. Ngayon, sa $5,600 bawat Bitcoin, iyon ay humigit-kumulang $280 upang i-unlock ang isang computer. Ang user ay binibigyan ng tagal ng panahon na 48 oras para magbayad. Pagkatapos ng panahong ito, kung hindi nailipat ang kinakailangang halaga sa electronic account ng umaatake, tataas ang halaga.

Paano protektahan ang iyong sarili mula sa virus

1. Upang maprotektahan ang iyong sarili mula sa impeksyon ng Bad Rabbit virus, dapat mong harangan ang pag-access mula sa kapaligiran ng impormasyon sa mga domain sa itaas.
2. Para sa mga user sa bahay, kailangan mong i-update ang kasalukuyan Mga bersyon ng Windows at gayundin antivirus program. Sa kasong ito, ang malisyosong file ay matutukoy bilang isang ransomware virus, na magbubukod sa posibilidad ng pag-install nito sa computer.
3. Yaong mga user na gumagamit ng built-in na antivirus operating system Mga sistema ng Windows, mayroon nang proteksyon laban sa ransomware na ito. Ito ay ipinatupad sa Windows application Defender Antivirus.
4. Pinapayuhan ng mga developer ng antivirus program mula sa Kaspersky Lab ang lahat ng mga user na pana-panahong i-backup ang kanilang data. Bilang karagdagan, inirerekomenda ng mga eksperto ang pagharang sa pagpapatupad ng mga file na c:\windows\infpub.dat, c:\WINDOWS\cscc.dat, at gayundin, kung maaari, ang paggamit ng serbisyo ng WMI ay dapat ipagbawal.

Konklusyon

Dapat tandaan ng bawat gumagamit ng computer na dapat mauna ang cybersecurity kapag nagtatrabaho sa network. Samakatuwid, dapat mong palaging tiyakin na gumagamit ka lamang ng mga napatunayang mapagkukunan ng impormasyon at maingat na paggamit email At social media. Sa pamamagitan ng mga mapagkukunang ito ang iba't ibang mga virus ay madalas na kumakalat. Ang mga pangunahing tuntunin ng pag-uugali sa kapaligiran ng impormasyon ay makakatulong na maalis ang mga problema na lumitaw sa panahon ng pag-atake ng virus.

Noong Oktubre 24, ang Russian media, gayundin ang mga kumpanya ng transportasyon at ahensya ng gobyerno sa Ukraine, ay inatake ng Bad Rabbit ransomware. Ayon sa mga bukas na mapagkukunan, ang mga biktima ay kinabibilangan ng Kiev metro, paliparan ng Odessa, Ministri ng Infrastruktura ng Ukraine, mga tanggapan ng editoryal ng Interfax at Fontanka.

Ayon sa laboratoryo ng virus ng ESET, ang pag-atake sa metro ng Kiev ay gumamit ng Diskcoder.D malware, isang bagong pagbabago ng encryptor na kilala bilang Petya.

Mga espesyalista sa seguridad ng impormasyon Napag-alaman ng Group-IB na ilang araw nang naghahanda ang pag-atake. Nagbabala ang ESET na ang ransomware ay tumagos sa computer sa pamamagitan ng isang pekeng Adobe Flash plugin update. Pagkatapos nito, na-infect nito ang PC at ini-encrypt ang mga file dito. Pagkatapos ay lilitaw ang isang mensahe sa monitor na nagsasabi na ang computer ay naka-lock, at upang i-decrypt ang mga file na kailangan mong pumunta sa Bad Rabbit website - caforssztxqzf2nm.onion sa pamamagitan ng Tor browser.

Ang mga epidemya ng WannaCry at NotPetya ransomware ay nagpakita na kinakailangang mag-update sa oras naka-install na mga programa at system, pati na rin gumawa ng mga backup na kopya upang hindi maiwan mahalagang impormasyon pagkatapos ng pag-atake ng virus.

Gayunpaman, kung magkaroon ng impeksyon, hindi inirerekomenda ng mga eksperto mula sa Group-IB ang pagbabayad ng ransom, dahil:

• sa ganitong paraan tinutulungan mo ang mga kriminal;
• Wala kaming ebidensya na naibalik ang data ng mga nagbayad.

Paano protektahan ang iyong computer mula sa impeksyon sa Bad Rabbit?

Upang maiwasang maging biktima ng bagong epidemya ng Bad Rabbit, inirerekomenda ng mga eksperto sa Kaspersky Lab na gawin ang sumusunod:

Para sa mga gumagamit ng mga solusyon sa antivirus ng Kaspersky Lab:

• Suriin kung ang iyong solusyon sa seguridad ay may kasamang mga bahagi Kaspersky Security Network at Activity Monitor (aka System Watcher). Kung hindi, siguraduhing i-on ito.

Para sa mga hindi gumagamit ng mga solusyon sa antivirus ng Kaspersky Lab.

Kahapon, Oktubre 24, 2017, ang malalaking Russian media, gayundin ang ilang ahensya ng gobyerno ng Ukraine, ay inatake ng hindi kilalang mga umaatake. Kabilang sa mga biktima ay Interfax, Fontanka at kahit isa pang hindi pinangalanang online na publikasyon. Kasunod ng media, iniulat din ang mga problema International airport"Odessa", Kyiv Metro at ang Ukrainian Ministry of Infrastructure. Ayon sa isang pahayag ng mga analyst ng Group-IB, sinubukan din ng mga kriminal na atakehin ang mga imprastraktura ng pagbabangko, ngunit hindi nagtagumpay ang mga pagtatangka na ito. Sinasabi naman ng mga espesyalista sa ESET na ang mga pag-atake ay nakaapekto sa mga user mula sa Bulgaria, Turkey at Japan.

Tulad ng nangyari, ang mga pagkagambala sa trabaho ng mga kumpanya at ahensya ng gobyerno ay hindi sanhi ng napakalaking pag-atake ng DDoS, ngunit sa pamamagitan ng isang ransomware na tinatawag na Bad Rabbit (mas gusto ng ilang eksperto na magsulat ng BadRabbit nang walang espasyo).

Kahapon, kaunti ang nalalaman tungkol sa malware at sa mga mekanismo ng operasyon nito: iniulat na ang ransomware ay humihingi ng ransom na 0.05 bitcoin, at sinabi rin ng mga eksperto ng Group-IB na ang pag-atake ay naging paghahanda sa loob ng ilang araw. Kaya, dalawang JS script ang natuklasan sa website ng mga umaatake, at, batay sa impormasyon mula sa server, isa sa mga ito ang na-update noong Oktubre 19, 2017.

Ngayon, kahit na wala pang isang araw ang lumipas mula nang magsimula ang mga pag-atake, ang pagsusuri sa ransomware ay naisagawa na ng mga espesyalista mula sa halos lahat ng nangungunang kumpanya ng seguridad ng impormasyon sa mundo. Kaya, ano ang Bad Rabbit, at dapat ba nating asahan ang isang bagong "epidemya ng ransomware" tulad ng WannaCry o NotPetya?

Paano nagawa ng Bad Rabbit na magdulot ng malalaking media outages kung ito ay tungkol sa mga pekeng update sa Flash? Ayon sa ESET , Emsisoft At Fox-IT, pagkatapos ng impeksyon, ginamit ng malware ang Mimikatz utility para kunin ang mga password mula sa LSASS, at mayroon ding listahan ng mga pinakakaraniwang login at password. Ginamit ng malware ang lahat ng ito upang kumalat sa pamamagitan ng SMB at WebDAV sa iba pang mga server at workstation na matatagpuan sa parehong network ng nahawaang device. Kasabay nito, naniniwala ang mga eksperto mula sa mga kumpanyang nakalista sa itaas at mga empleyado ng Cisco Talos sa kasong ito walang mga tool na ninakaw mula sa mga ahensya ng paniktik na nagsasamantala sa mga kapintasan ng SMB. Hayaan mong ipaalala ko sa iyo iyon Mga virus ng WannaCry at ang NotPetya ay ipinamahagi gamit ang partikular na pagsasamantalang ito.

Gayunpaman, ang mga eksperto ay nakahanap pa rin ng ilang pagkakatulad sa pagitan ng Bad Rabbit at Petya (NotPetya). Kaya, ang ransomware ay hindi lamang nag-encrypt ng mga file ng gumagamit gamit ang open source na DiskCryptor, ngunit binabago ang MBR (Master Boot Record), pagkatapos nito ay i-reboot ang computer at nagpapakita ng isang mensahe na humihingi ng ransom.

Bagama't ang mensahe sa mga kahilingan ng mga umaatake ay halos magkapareho sa mensahe mula sa mga operator ng NotPetya, ang mga eksperto ay may bahagyang magkakaibang opinyon tungkol sa koneksyon sa pagitan ng Bad Rabbit at NotPetya. Kaya, kinalkula ng mga analyst sa Intezer na ang source code ng malware

Noong huling bahagi ng dekada 1980, ang AIDS virus ("PC Cyborg"), na isinulat ni Joseph Popp, ay nagtago ng mga direktoryo at naka-encrypt na mga file, na nangangailangan ng pagbabayad ng humigit-kumulang $200 para sa isang "pag-renew ng lisensya." Noong una, ang ransomware ay nakatuon lamang sa mga ordinaryong tao na gumagamit ng mga computer na tumatakbo Kontrol sa Windows, ngunit ngayon ang banta mismo ay naging isang seryosong problema para sa negosyo: parami nang parami ang mga programang lumalabas, nagiging mas mura at mas madaling ma-access ang mga ito. Pangingikil gamit ang malware ang pangunahing banta sa cyber sa 2/3 mga bansa sa EU. Isa sa mga pinakakaraniwang ransomware virus, ang CryptoLocker, ay nahawahan ng higit sa isang-kapat ng isang milyong mga computer sa mga bansa sa EU mula noong Setyembre 2013.

Noong 2016, ang bilang ng mga pag-atake ng ransomware ay tumaas nang husto—ayon sa mga analyst, nang higit sa isang daang beses kumpara sa nakaraang taon. Ito ay isang lumalagong kalakaran, at, tulad ng nakita natin, ang ganap na magkakaibang mga kumpanya at organisasyon ay inaatake. May kaugnayan din ang banta para sa mga non-profit na organisasyon. Dahil para sa bawat pangunahing pag-atake, ang mga nakakahamak na programa ay ina-upgrade at sinusubok ng mga umaatake upang "ipasa" ang proteksyon ng anti-virus, ang mga anti-virus, bilang panuntunan, ay walang kapangyarihan laban sa kanila.

Noong Oktubre 12, nagbabala ang Security Service ng Ukraine tungkol sa posibilidad ng mga bagong malakihang pag-atake sa cyber sa mga ahensya ng gobyerno at pribadong kumpanya, katulad ng epidemya ng ransomware noong Hunyo HindiPetya. Ayon sa serbisyo ng paniktik ng Ukrainian, "maaaring isagawa ang pag-atake gamit ang mga update, kabilang ang software ng application na magagamit sa publiko." Tandaan natin iyon sa kaso ng pag-atake HindiPetya, na iniugnay ng mga mananaliksik sa grupong BlackEnergy, ang mga unang biktima ay mga kumpanyang gumagamit software Ukrainian developer ng sistema ng pamamahala ng dokumento na "M.E.Doc".

Pagkatapos, sa unang 2 oras, ang mga kumpanya ng enerhiya, telekomunikasyon at pananalapi ay inatake: Zaporozhyeoblenergo, Dneproenergo, Dnieper Electric Power System, Mondelez International, Oschadbank, Mars, Nova Poshta, Nivea, TESA, Kiev Metro, mga computer ng Gabinete ng mga Ministro at ang Pamahalaan ng Ukraine, mga tindahan "Auchan", Ukrainian operator ("Kyivstar", LifeCell, "UkrTeleCom"), Privatbank, Boryspil airport.

Mas maaga, noong Mayo 2017, inatake ng WannaCry ransomware virus ang 200,000 computer sa 150 bansa. Ang virus ay kumalat sa pamamagitan ng mga network ng mga unibersidad sa China, mga pabrika ng Renault sa France at Nissan sa Japan, telecommunications company na Telefonica sa Spain at railway operator na Deutsche Bahn sa Germany. Dahil sa mga naka-block na computer sa mga klinika sa UK, ang mga operasyon ay kailangang ipagpaliban, at ang mga panrehiyong yunit ng Russian Ministry of Internal Affairs ay hindi makapagbigay ng mga lisensya sa pagmamaneho. Sinabi ng mga mananaliksik na ang mga hacker ng North Korean mula kay Lazarus ang nasa likod ng pag-atake.

Noong 2017, ang mga virus sa pag-encrypt ay umabot sa isang bagong antas: ang paggamit ng mga tool mula sa mga arsenal ng mga serbisyo ng paniktik ng Amerika at mga bagong mekanismo ng pamamahagi ng mga cybercriminal ay humantong sa mga internasyonal na epidemya, na ang pinakamalaki ay ang WannaCry at NotPetya. Sa kabila ng laki ng impeksyon, ang ransomware mismo ay nangolekta ng medyo hindi gaanong halaga - malamang na hindi ito mga pagtatangka upang kumita ng pera, ngunit upang subukan ang antas ng proteksyon ng mga kritikal na network ng imprastraktura ng mga negosyo, ahensya ng gobyerno at pribadong kumpanya.