Bir yıl içinde üçüncü büyük ölçekli siber saldırı. Bu kez virüsün yeni bir adı var: Kötü Tavşan ve eski alışkanlıklar: verileri şifrelemek ve kilidi açmak için zorla para almak. Rusya, Ukrayna ve diğer bazı BDT ülkeleri ise hâlâ etkilenen bölgede bulunuyor.

Kötü Tavşan olağan düzeni takip ediyor: Virüs veya bağlantı eklenmiş bir kimlik avı e-postası gönderiyor. Saldırganlar özellikle Microsoft teknik desteği gibi davranarak sizden ekteki bir dosyayı acilen açmanızı veya bir bağlantıyı izlemenizi isteyebilir. Başka bir dağıtım yolu daha var - sahte bir güncelleme penceresi. Adobe Flash Oyuncu. Her iki durumda da Bad Rabbit, sansasyonel olanla aynı şekilde hareket ediyor; kurbanın verilerini şifreliyor ve 25 Ekim 2017 döviz kuru üzerinden yaklaşık 280 dolar olan 0,05 bitcoin fidye talep ediyor. Yeni salgının kurbanları Interfax, St. Petersburg yayını Fontanka, Kiev Büyükşehir Belediyesi, Odessa havaalanı ve Ukrayna Kültür Bakanlığı oldu. Yeni virüsün birçok tanınmış Rus bankasına saldırmaya çalıştığına dair kanıtlar var ancak bu fikir başarısız oldu. Uzmanlar Kötü Tavşan'ı bu yıl kaydedilen önceki büyük saldırılarla ilişkilendiriyor. Bunun kanıtı benzer şifreleme yazılımı Diskcoder.D'dir ve bu aynı Petya şifreleyicidir, sadece biraz değiştirilmiş.

Kendinizi Kötü Tavşan'dan nasıl korursunuz?

Uzmanlar sahiplerine tavsiye ediyor Windows bilgisayarlar bir "infpub.dat" dosyası oluşturun ve onu içine yerleştirin Windows klasörü"C" sürücüsünde. Sonuç olarak yol şu şekilde görünmelidir: C:\windows\infpub.dat. Bu, normal bir not defteri kullanılarak ancak Yönetici haklarıyla yapılabilir. Bunu yapmak için Not Defteri programının bağlantısını bulun, sağ tıklayın ve "Yönetici Olarak Çalıştır" seçeneğini seçin.

Daha sonra bu dosyayı C:\windows\ adresine yani “C” sürücüsündeki Windows klasörüne kaydetmeniz yeterli. Dosya adı: infpub.dat, dosya uzantısı "dat"tır. Standart not defteri uzantısı "txt"yi "dat" ile değiştirmeyi unutmayın. Dosyayı kaydettikten sonra, Windows klasörünü açın, oluşturulan infpub.dat dosyasını bulun, üzerine sağ tıklayın ve "Özellikler" seçeneğini seçin; burada en alttaki "Salt Okunur" onay kutusunu işaretlemeniz gerekir. Bu sayede Bad Bunny virüsüne yakalansanız bile verilerinizi şifreleyemeyecek.

Önleyici tedbirler

Belirli kurallara uyarak kendinizi her türlü virüsten koruyabileceğinizi unutmayın. Önemsiz görünebilir, ancak adres size şüpheli görünüyorsa asla e-postaları ve eklerini açmayın. Kimlik avı e-postaları, yani diğer hizmetler gibi görünmek, en yaygın enfeksiyon yöntemidir. Ne açtığınıza dikkat edin. Eğer bir e-postada ekteki dosya “Önemli belge.docx_______.exe” olarak geçiyorsa bu dosyayı kesinlikle açmamalısınız. Ayrıca, sahip olmanız gerekir yedeklemelerönemli dosyalar. Örneğin, fotoğrafların veya çalışma belgelerinin bulunduğu bir aile arşivi kopyalanabilir. harici sürücü veya üzerinde bulut depolama. Kullanmanın ne kadar önemli olduğunu unutmayın lisanslı sürüm Windows ve güncellemeleri düzenli olarak yükleyin. Güvenlik yamaları Microsoft tarafından düzenli olarak yayınlanmaktadır ve bunları yükleyenler bu tür virüslerle sorun yaşamamaktadır.

Bu yılın Ekim ayının sonu, kurumsal ve ev kullanıcılarının bilgisayarlarına aktif olarak saldıran yeni bir virüsün ortaya çıkmasıyla kutlandı. Yeni virüs bir kriptograftır ve adı kötü tavşan anlamına gelen Kötü Tavşan'dır. Bu virüs, çeşitli Rus medya kuruluşlarının web sitelerine saldırmak için kullanıldı. Daha sonra virüs Ukraynalı işletmelerin bilgi ağlarında keşfedildi. Orada metronun, çeşitli bakanlıkların, uluslararası havalimanlarının vb. bilgi ağlarına saldırı düzenlendi. Kısa bir süre sonra benzer bir virüs saldırısı Almanya ve Türkiye'de de gözlendi, ancak etkinliği Ukrayna ve Rusya'ya göre önemli ölçüde daha düşüktü.

Kötü amaçlı bir virüs, bilgisayara ulaştığında dosyalarını şifreleyen özel bir eklentidir. Bilgiler şifrelendikten sonra saldırganlar, verilerin şifresini çözerek kullanıcılardan ödül almaya çalışır.

Virüsün yayılması

ESET antivirüs programı laboratuvarındaki uzmanlar, virüsün yayılma yolunun algoritmasını analiz etti ve bunun Petya virüsü gibi çok uzun zaman önce yayılmayan değiştirilmiş bir virüs olduğu sonucuna vardı.

ESET laboratuvar uzmanları, kötü amaçlı eklentilerin 1dnscontrol.com kaynağından ve IP5.61.37.209 IP adresinden dağıtıldığını belirledi. Secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com dahil olmak üzere diğer birçok kaynak da bu alan adı ve IP ile ilişkilidir.

Uzmanlar, bu sitelerin sahiplerinin birçok farklı kaynağı kaydettirdiğini, örneğin spam postalar kullanarak sahte ilaçlar satmaya çalıştıklarını araştırdı. ESET Uzmanları Ana siber saldırının spam posta ve kimlik avı kullanılarak bu kaynakların yardımıyla gerçekleştirildiği göz ardı edilmiyor.

Bad Rabbit virüsü enfeksiyonu nasıl oluşur?

Bilgisayar Adli Tıp Laboratuvarı uzmanları, virüsün kullanıcıların bilgisayarlarına nasıl bulaştığına ilişkin inceleme gerçekleştirdi. Çoğu durumda Bad Rabbit fidye yazılımı virüsünün Adobe Flash güncellemesi olarak dağıtıldığı keşfedildi. Yani virüs herhangi bir güvenlik açığından yararlanmadı işletim sistemi, ancak Adobe Flash eklentisini güncellediklerini düşünerek bilmeden kurulumunu onaylayan kullanıcılar tarafından yüklendi. Virüs girdiğinde yerel ağ, bellekten oturum açma bilgilerini ve parolaları çaldı ve bağımsız olarak diğer bilgisayar sistemlerine yayıldı.

Bilgisayar korsanları nasıl zorla para alıyor?

Fidye yazılımı virüsü bilgisayara yüklendikten sonra saklanan bilgileri şifreler. Daha sonra kullanıcılara, verilerine erişebilmek için karanlık ağdaki belirli bir sitede ödeme yapmaları gerektiğini belirten bir mesaj geliyor. Bunu yapmak için önce özel bir Tor tarayıcısı yüklemeniz gerekir. Saldırganlar, bilgisayarın kilidini açmak için 0,05 bitcoin tutarındaki ödemeyi gasp ediyor. Bugün Bitcoin başına 5.600 dolardan bir bilgisayarın kilidini açmak yaklaşık 280 dolara denk geliyor. Kullanıcıya ödeme yapması için 48 saatlik bir süre tanınır. Bu sürenin sonunda gerekli tutar saldırganın elektronik hesabına aktarılmazsa tutar artar.

Kendinizi virüsten nasıl korursunuz?

1. Kendinizi Bad Rabbit virüsünün bulaşmasından korumak için bilgi ortamından yukarıdaki alanlara erişimi engellemelisiniz.
2. Ev kullanıcıları için mevcut sürümü güncellemeniz gerekir. Windows sürümleri ve ayrıca antivirüs programı. Bu durumda, kötü amaçlı dosya fidye yazılımı virüsü olarak algılanacak ve bu da bilgisayara yüklenme olasılığını ortadan kaldıracaktır.
3. Yerleşik antivirüs işletim sistemini kullanan kullanıcılar Windows sistemleri, bu fidye yazılımlarına karşı zaten korumanız var. İçinde uygulanır Windows uygulaması Defans Antivirüsü.
4. Kaspersky Lab antivirüs programının geliştiricileri, tüm kullanıcılara verilerini periyodik olarak yedeklemelerini tavsiye ediyor. Ayrıca uzmanlar, c:\windows\infpub.dat, c:\WINDOWS\cscc.dat dosyalarının yürütülmesinin engellenmesini ve ayrıca mümkünse WMI hizmetinin kullanımının yasaklanmasını önermektedir.

Çözüm

Her bilgisayar kullanıcısı, ağ üzerinde çalışırken siber güvenliğin ilk sırada gelmesi gerektiğini hatırlamalıdır. Bu nedenle her zaman yalnızca kanıtlanmış bilgi kaynaklarını kullandığınızdan ve dikkatli bir şekilde kullandığınızdan emin olmalısınız. e-posta Ve sosyal medya. Çeşitli virüsler çoğunlukla bu kaynaklar aracılığıyla yayılır. Bilgi ortamındaki temel davranış kuralları, virüs saldırısı sırasında ortaya çıkan sorunların ortadan kaldırılmasına yardımcı olacaktır.

24 Ekim'de Rus medyasının yanı sıra Ukrayna'daki nakliye şirketleri ve devlet kurumları da Bad Rabbit fidye yazılımının saldırısına uğradı. Açık kaynaklara göre kurbanlar arasında Kiev metrosu, Odessa havaalanı, Ukrayna Altyapı Bakanlığı, Interfax ve Fontanka yazı işleri ofisleri yer alıyor.

ESET virüs laboratuvarına göre, Kiev metrosuna yapılan saldırıda, Petya olarak bilinen şifreleyicinin yeni bir modifikasyonu olan Diskcoder.D kötü amaçlı yazılımı kullanıldı.

Uzmanlar bilgi güvenliği Grup-IB, saldırının birkaç gündür hazırlık aşamasında olduğunu tespit etti. ESET, fidye yazılımının sahte bir Adobe Flash eklenti güncellemesi aracılığıyla bilgisayara sızdığı konusunda uyarıyor. Bundan sonra bilgisayara bulaşır ve içindeki dosyaları şifreler. Ardından monitörde bilgisayarın kilitlendiğini belirten bir mesaj belirir ve dosyaların şifresini çözmek için Tor tarayıcısı aracılığıyla Bad Rabbit web sitesine - caforssztxqzf2nm.onion gitmeniz gerekir.

WannaCry ve NotPetya fidye yazılımı salgınları, güncellemenin zamanında yapılması gerektiğini gösterdi yüklü programlar ve sistemin yanı sıra, eksik kalmamak için yedek kopyalar oluşturun. önemli bilgi bir virüs saldırısından sonra.

Ancak bir enfeksiyon meydana gelirse Grup-IB uzmanları fidyeyi ödemenizi önermiyor çünkü:

• bu şekilde suçlulara yardım etmiş olursunuz;
• Ödeme yapanların verilerinin geri yüklendiğine dair hiçbir kanıtımız yok.

Bilgisayarınızı Bad Rabbit enfeksiyonundan nasıl korursunuz?

Kaspersky Lab uzmanları, yeni Kötü Tavşan salgınının kurbanı olmamak için şunları yapmanızı öneriyor:

Kaspersky Lab antivirüs çözümleri kullanıcıları için:

• Güvenlik çözümünüzün bileşenler içerip içermediğini kontrol edin Kaspersky Güvenliği Ağ ve Etkinlik Monitörü (diğer adıyla Sistem İzleyici). Değilse, açtığınızdan emin olun.

Kaspersky Lab antivirüs çözümlerini kullanmayanlar için.

Dün, yani 24 Ekim 2017'de, büyük Rus medyası ve bir dizi Ukrayna devlet kurumu, bilinmeyen saldırganların saldırısına uğradı. Kurbanlar arasında Interfax, Fontanka ve en az bir başka isimsiz çevrimiçi yayın da vardı. Medyanın ardından sorunlar da bildirildi Uluslararası havaalanı"Odessa", Kiev Metrosu ve Ukrayna Altyapı Bakanlığı. Group-IB analistlerinden yapılan açıklamaya göre suçlular bankacılık altyapılarına da saldırmaya çalıştı ancak bu girişimler başarısızlıkla sonuçlandı. ESET uzmanları ise saldırıların Bulgaristan, Türkiye ve Japonya'daki kullanıcıları etkilediğini iddia ediyor.

Anlaşıldığı üzere, şirketlerin ve devlet kurumlarının çalışmalarındaki aksaklıklar büyük DDoS saldırılarından değil, Bad Rabbit adı verilen bir fidye yazılımından kaynaklanıyor (bazı uzmanlar BadRabbit'i boşluksuz yazmayı tercih ediyor).

Dün, kötü amaçlı yazılım ve çalışma mekanizmaları hakkında çok az şey biliniyordu: Fidye yazılımının 0,05 bitcoin tutarında fidye talep ettiği bildirildi ve Group-IB uzmanları da saldırının birkaç gündür hazırlık aşamasında olduğunu söyledi. Böylece saldırganların web sitesinde iki JS betiği keşfedildi ve sunucudan gelen bilgilere göre bunlardan birinin 19 Ekim 2017'de güncellendiği anlaşıldı.

Artık saldırıların başlamasının üzerinden bir gün bile geçmemiş olmasına rağmen fidye yazılımının analizi, dünyanın önde gelen bilgi güvenliği şirketlerinin hemen hemen tümünün uzmanları tarafından yürütülüyor. Peki Bad Rabbit nedir ve WannaCry ya da NotPetya gibi yeni bir “fidye yazılımı salgını” mı beklemeliyiz?

Konu tamamen sahte Flash güncellemeleriyken, Bad Rabbit büyük medya kesintilerine neden olmayı nasıl başardı? Buna göre ESET , Emsisoft Ve Fox-IT Kötü amaçlı yazılım bulaştıktan sonra, LSASS'tan şifreleri çıkarmak için Mimikatz yardımcı programını kullandı ve ayrıca en yaygın oturum açma adları ve şifrelerin bir listesine de sahipti. Kötü amaçlı yazılım, tüm bunları SMB ve WebDAV aracılığıyla, virüslü cihazla aynı ağda bulunan diğer sunuculara ve iş istasyonlarına yayılmak için kullandı. Aynı zamanda yukarıda sıralanan şirketlerin uzmanları ve Cisco Talos çalışanları da şuna inanıyor: bu durumda KOBİ kusurlarından yararlanan istihbarat teşkilatlarından çalınan hiçbir araç yoktu. Sana şunu hatırlatmama izin ver WannaCry virüsleri ve NotPetya bu özel istismar kullanılarak dağıtıldı.

Ancak uzmanlar yine de Kötü Tavşan ile Petya (NotPetya) arasında bazı benzerlikler bulmayı başardılar. Böylece, fidye yazılımı yalnızca açık kaynak DiskCryptor kullanarak kullanıcı dosyalarını şifrelemekle kalmıyor, aynı zamanda MBR'yi (Ana Önyükleme Kaydı) değiştiriyor, ardından bilgisayarı yeniden başlatıyor ve fidye talep eden bir mesaj görüntülüyor.

Saldırganların taleplerini içeren mesaj NotPetya operatörlerinden gelen mesajla neredeyse aynı olsa da uzmanların Bad Rabbit ile NotPetya arasındaki bağlantı konusunda biraz farklı görüşleri var. Böylece Intezer'deki analistler, kötü amaçlı yazılımın kaynak kodunun

1980'lerin sonlarında, Joseph Popp tarafından yazılan AIDS virüsü ("PC Cyborg"), dizinleri ve şifrelenmiş dosyaları saklıyordu ve "lisans yenileme" için yaklaşık 200 dolar ödeme gerektiriyordu. Başlangıçta fidye yazılımı yalnızca çalışan bilgisayarları kullanan sıradan insanları hedef alıyordu. Windows kontrolü ancak artık tehdidin kendisi iş dünyası için ciddi bir sorun haline geldi: giderek daha fazla program ortaya çıkıyor, daha ucuz ve daha erişilebilir hale geliyor. Kötü amaçlı yazılım kullanarak gasp, AB ülkelerinin 2/3'ünde ana siber tehdittir. En yaygın fidye yazılımı virüslerinden biri olan CryptoLocker, Eylül 2013'ten bu yana AB ülkelerinde çeyrek milyondan fazla bilgisayara bulaştı.

2016 yılında fidye yazılımı saldırılarının sayısı keskin bir şekilde arttı; analistlere göre, bir önceki yıla göre yüz kattan fazla arttı. Bu giderek büyüyen bir trend ve gördüğümüz gibi tamamen farklı şirket ve kuruluşlar saldırı altında. Tehdit kar amacı gütmeyen kuruluşlar için de geçerlidir. Her büyük saldırı için kötü amaçlı programlar, saldırganlar tarafından antivirüs korumasını "geçecek" şekilde yükseltilip test edildiğinden, antivirüsler kural olarak onlara karşı güçsüzdür.

12 Ekim'de Ukrayna Güvenlik Servisi, Haziran fidye yazılımı salgınına benzer şekilde devlet kurumlarına ve özel şirketlere yönelik yeni büyük ölçekli siber saldırıların olasılığı konusunda uyardı Petya değil. Ukrayna istihbarat servisine göre "saldırı, kamuya açık uygulama yazılımları da dahil olmak üzere güncellemeler kullanılarak gerçekleştirilebilir." Saldırı durumunda şunu hatırlayalım. Petya değil, Araştırmacıların BlackEnergy grubuyla bağlantılı olduğu ilk kurbanların, BlackEnergy kullanan şirketler olduğu ortaya çıktı. yazılım“M.E.Doc” belge yönetim sisteminin Ukraynalı geliştiricisi.

Ardından ilk 2 saatte enerji, telekomünikasyon ve finans şirketlerine saldırı düzenlendi: Zaporozhyeoblenergo, Dneproenergo, Dnieper Electric Power System, Mondelez International, Oschadbank, Mars, Nova Poshta, Nivea, TESA, Kiev Metrosu, Bakanlar Kurulu bilgisayarları ve Ukrayna Hükümeti, "Auchan" mağazaları, Ukraynalı operatörler ("Kyivstar", LifeCell, "UkrTeleCom"), Privatbank, Boryspil havaalanı.

Biraz önce, Mayıs 2017'de, WannaCry fidye yazılımı virüsü 150 ülkede 200.000 bilgisayara saldırmıştı. Virüs, Çin'deki üniversitelerin, Fransa'daki Renault ve Japonya'daki Nissan fabrikalarının, İspanya'daki telekomünikasyon şirketi Telefonica'nın ve Almanya'daki demiryolu operatörü Deutsche Bahn'ın ağlarına yayıldı. İngiltere'deki kliniklerdeki bilgisayarların bloke olması nedeniyle operasyonlar ertelenmek zorunda kaldı ve Rusya İçişleri Bakanlığı'nın bölgesel birimleri sürücü belgesi veremiyordu. Araştırmacılar, saldırının arkasında Lazarus'tan Kuzey Koreli hackerların olduğunu söyledi.

2017 yılında şifreleme virüsleri yeni bir seviyeye ulaştı: Amerikan istihbarat servislerinin cephaneliklerindeki araçların ve siber suçlular tarafından yeni dağıtım mekanizmalarının kullanılması, en büyüğü WannaCry ve NotPetya olmak üzere uluslararası salgınlara yol açtı. Enfeksiyonun boyutuna rağmen, fidye yazılımının kendisi nispeten önemsiz miktarlar topladı; büyük olasılıkla bunlar para kazanma girişimleri değil, işletmelerin, devlet kurumlarının ve özel şirketlerin kritik altyapı ağlarının koruma düzeyini test etme amaçlıydı.