Bir yil ichida uchinchi yirik kiberhujum. Bu safar virusning yangi nomi Bad Rabbit va eski odatlari bor: ma'lumotlarni shifrlash va qulfni ochish uchun pul undirish. Rossiya, Ukraina va boshqa MDH davlatlari hamon jabrlangan hududda.

Bad Rabbit odatiy naqshga amal qiladi: u virus yoki havola biriktirilgan fishing elektron pochta xabarini yuboradi. Xususan, tajovuzkorlar o'zini Microsoft texnik yordami sifatida ko'rsatishi va sizdan biriktirilgan faylni zudlik bilan ochishingizni yoki havolaga amal qilishingizni so'rashi mumkin. Boshqa tarqatish yo'li mavjud - soxta yangilash oynasi. Adobe Flash O'yinchi. Ikkala holatda ham, Bad Rabbit yaqinda shov-shuvli bo'lgani kabi harakat qiladi, u jabrlanuvchining ma'lumotlarini shifrlaydi va 0,05 bitkoin to'lashni talab qiladi, bu 2017 yil 25 oktyabrdagi kurs bo'yicha taxminan 280 dollarni tashkil etadi. Yangi epidemiya qurbonlari Interfaks, Sankt-Peterburgning "Fontanka" nashri, Kiev Metropoliteni, Odessa aeroporti va Ukraina Madaniyat vazirligidir. Yangi virus bir nechta taniqli rus banklariga hujum qilishga uringanligi haqida dalillar mavjud, ammo bu g'oya muvaffaqiyatsizlikka uchradi. Mutaxassislar Bad Rabbitni bu yil qayd etilgan oldingi yirik hujumlar bilan bog‘laydi. Buning tasdig'i o'xshash shifrlash dasturi Diskcoder.D va bu bir xil Petya shifrlovchisi, faqat biroz o'zgartirilgan.

O'zingizni Bad Rabbitdan qanday himoya qilish kerak?

Mutaxassislar egalariga tavsiya qiladilar Windows kompyuterlari"infpub.dat" faylini yarating va uni joylashtiring Windows papkasi"C" diskida. Natijada, yo'l quyidagicha ko'rinishi kerak: C:\windows\infpub.dat. Bu oddiy bloknot yordamida, lekin Administrator huquqlari bilan amalga oshirilishi mumkin. Buni amalga oshirish uchun Notepad dasturiga havolani toping, o'ng tugmasini bosing va "Administrator sifatida ishga tushirish" -ni tanlang.

Keyin ushbu faylni C:\windows\ manziliga, ya'ni "C" diskidagi Windows jildiga saqlashingiz kifoya. Fayl nomi: infpub.dat, “dat” fayl kengaytmasi. Standart bloknot kengaytmasi "txt" ni "dat" bilan almashtirishni unutmang. Faylni saqlaganingizdan so'ng, Windows papkasini oching, yaratilgan infpub.dat faylini toping, ustiga sichqonchaning o'ng tugmachasini bosing va "Xususiyatlar" ni tanlang, bu erda eng pastki qismida "Faqat o'qish" katagiga belgi qo'yishingiz kerak. Shunday qilib, Bad Bunny virusini ushlasangiz ham, u sizning ma'lumotlaringizni shifrlay olmaydi.

Profilaktik choralar

Faqat ma'lum qoidalarga rioya qilish orqali o'zingizni har qanday virusdan himoya qilishingiz mumkinligini unutmang. Bu arzimasdek tuyulishi mumkin, lekin agar manzil sizga shubhali boʻlib tuyulsa, hech qachon elektron pochta xabarlarini, qoʻshimchalarini ham ochmang. Phishing elektron pochta xabarlari, ya'ni boshqa xizmatlar sifatida niqoblash infektsiyaning eng keng tarqalgan usuli hisoblanadi. Ochgan narsangizga ehtiyot bo'ling. Agar elektron pochtada biriktirilgan fayl "Muhim hujjat.docx_______.exe" deb nomlangan bo'lsa, unda siz ushbu faylni albatta ochmasligingiz kerak. Bundan tashqari, sizda bo'lishi kerak zaxira nusxalari muhim fayllar. Masalan, fotosuratlar yoki ishchi hujjatlar bilan oilaviy arxivni ko'paytirish mumkin tashqi haydovchi yoki yoqing bulutli saqlash. Foydalanish qanchalik muhimligini unutmang litsenziyalangan versiya Windows va yangilanishlarni muntazam ravishda o'rnating. Xavfsizlik yamoqlari Microsoft tomonidan muntazam ravishda chiqariladi va ularni o'rnatganlar bunday viruslar bilan bog'liq muammolarga duch kelmaydilar.

Joriy yilning oktabr oyining oxiri korporativ va uy foydalanuvchilarining kompyuterlariga faol hujum qilgan yangi virusning paydo bo‘lishi bilan nishonlandi. Yangi virus kriptograf bo'lib, Bad Rabbit deb ataladi, bu yomon quyon degan ma'noni anglatadi. Ushbu virus Rossiyaning bir qancha ommaviy axborot vositalarining veb-saytlariga hujum qilish uchun ishlatilgan. Keyinchalik bu virus Ukraina korxonalarining axborot tarmoqlarida aniqlangan. U yerda metropolitenning axborot tarmoqlari, turli vazirliklar, xalqaro aeroportlar va boshqalar hujumga uchragan. Biroz vaqt o'tgach, xuddi shunday virus hujumi Germaniya va Turkiyada kuzatildi, garchi uning faolligi Ukraina va Rossiyaga qaraganda ancha past edi.

Zararli virus - bu maxsus plagin bo'lib, u kompyuterga yetib borgach, uning fayllarini shifrlaydi. Ma'lumotlar shifrlangandan so'ng, tajovuzkorlar ma'lumotlar shifrini hal qilish uchun foydalanuvchilardan mukofot olishga harakat qilishadi.

Virusning tarqalishi

ESET antivirus dasturi laboratoriyasi mutaxassislari virusning tarqalish yo‘lining algoritmini tahlil qilib, bu Petya virusi kabi yaqinda tarqalayotgan o‘zgartirilgan virus degan xulosaga kelishdi.

ESET laboratoriya mutaxassislari zararli plaginlar 1dnscontrol.com resursidan va IP5.61.37.209 IP manzilidan tarqatilganligini aniqladi. Bu domen va IP bilan bir qator boshqa manbalar ham bog'langan, jumladan, security-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.

Mutaxassislar ushbu saytlar egalari turli xil manbalarni ro'yxatdan o'tkazganliklarini, masalan, ular orqali soxta dori-darmonlarni spam-pochta orqali sotishga harakat qilishlarini tekshirdilar. ESET mutaxassislari Asosiy kiberhujum aynan mana shu manbalar yordamida spam yuborish va fishingdan foydalangan holda amalga oshirilgani istisno qilinmaydi.

Bad Rabbit virusi infektsiyasi qanday paydo bo'ladi?

Kompyuter sud-tibbiyot laboratoriyasi mutaxassislari virus foydalanuvchilarning kompyuterlariga qanday kirganini tekshirishdi. Aniqlanishicha, aksariyat hollarda Bad Rabbit ransomware virusi Adobe Flash-ga yangilanish sifatida tarqatilgan. Ya'ni, virus hech qanday zaiflikdan foydalanmagan operatsion tizim, lekin foydalanuvchilarning o'zlari tomonidan o'rnatildi, ular o'zlari bilmagan holda Adobe Flash plaginini yangilayotganini o'ylab, uning o'rnatilishini ma'qulladilar. Virus kirganda mahalliy tarmoq, u xotiradan login va parollarni o'g'irladi va mustaqil ravishda boshqa kompyuter tizimlariga tarqaldi.

Qanday qilib xakerlar pul undiradi

Ransomware virusi kompyuterga o'rnatilgandan so'ng, u saqlangan ma'lumotlarni shifrlaydi. Keyinchalik, foydalanuvchilar o'z ma'lumotlariga kirish uchun darknet-ning belgilangan saytida to'lovni amalga oshirishlari kerakligi haqida xabar oladi. Buning uchun avvalo maxsus Tor brauzerini o'rnatishingiz kerak. Kompyuterni blokdan chiqarish uchun tajovuzkorlar 0,05 bitkoin miqdorida to'lovni undiradilar. Bugungi kunda 1 bitkoin uchun 5600 dollar narxda, bu kompyuterni qulfdan chiqarish uchun taxminan 280 dollarni tashkil etadi. To'lovni amalga oshirish uchun foydalanuvchiga 48 soat vaqt beriladi. Ushbu muddatdan so'ng, agar kerakli miqdor tajovuzkorning elektron hisobiga o'tkazilmagan bo'lsa, miqdor ortadi.

O'zingizni virusdan qanday himoya qilish kerak

1. O'zingizni Bad Rabbit virusi infektsiyasidan himoya qilish uchun siz axborot muhitidan yuqoridagi domenlarga kirishni bloklashingiz kerak.
2. Uy foydalanuvchilari uchun joriyni yangilashingiz kerak Windows versiyalari va shuningdek antivirus dasturi. Bunday holda, zararli fayl ransomware virusi sifatida aniqlanadi, bu esa uni kompyuterga o'rnatish imkoniyatini istisno qiladi.
3. O'rnatilgan antivirus operatsion tizimidan foydalanadigan foydalanuvchilar Windows tizimlari, allaqachon ushbu to'lov dasturidan himoyalangan. yilda amalga oshiriladi Windows ilovasi Defender antivirus.
4. Kasperskiy laboratoriyasining antivirus dasturini ishlab chiquvchilari barcha foydalanuvchilarga vaqti-vaqti bilan ma'lumotlarining zaxira nusxasini yaratishni maslahat berishadi. Bundan tashqari, mutaxassislar c:\windows\infpub.dat, c:\WINDOWS\cscc.dat fayllari bajarilishini bloklashni tavsiya qiladi, shuningdek, iloji bo'lsa, WMI xizmatidan foydalanishni taqiqlash kerak.

Xulosa

Har bir kompyuter foydalanuvchisi tarmoqda ishlashda kiberxavfsizlik birinchi o'rinda turishi kerakligini unutmasligi kerak. Shuning uchun siz har doim faqat tasdiqlangan ma'lumot manbalaridan foydalanishingiz va ehtiyotkorlik bilan foydalanishingiz kerak elektron pochta Va ijtimoiy tarmoqlar. Aynan shu manbalar orqali turli viruslar ko'pincha tarqaladi. Axborot muhitidagi xatti-harakatlarning asosiy qoidalari virus hujumi paytida yuzaga keladigan muammolarni bartaraf etishga yordam beradi.

24-oktabr kuni Rossiya ommaviy axborot vositalari, shuningdek, Ukrainadagi transport kompaniyalari va davlat idoralari Bad Rabbit to‘lov dasturi tomonidan hujumga uchradi. Ochiq manbalarga ko‘ra, qurbonlar orasida Kiyev metrosi, Odessa aeroporti, Ukraina infratuzilma vazirligi, “Interfaks” va “Fontanka” tahririyatlari bor.

ESET virus laboratoriyasi maʼlumotlariga koʻra, Kiyev metrosiga hujumda Petya nomi bilan mashhur shifrlovchining yangi modifikatsiyasi boʻlgan Diskcoder.D zararli dasturidan foydalanilgan.

dagi mutaxassislar axborot xavfsizligi Group-IB hujumga bir necha kundan beri tayyorgarlik ko'rilganini aniqladi. ESET to'lov dasturi soxta Adobe Flash plaginini yangilash orqali kompyuterga kirib borishi haqida ogohlantiradi. Shundan so'ng, u shaxsiy kompyuterni yuqtiradi va undagi fayllarni shifrlaydi. Keyin monitorda kompyuter qulflanganligi haqida xabar paydo bo'ladi va fayllarni parolini ochish uchun Tor brauzeri orqali Bad Rabbit veb-saytiga - caforssztxqzf2nm.onion ga o'tishingiz kerak.

WannaCry va NotPetya ransomware epidemiyalari o'z vaqtida yangilash kerakligini ko'rsatdi. o'rnatilgan dasturlar va tizim, shuningdek, holda qolmaslik uchun zaxira nusxalarini yarating muhim ma'lumotlar virus hujumidan keyin.

Ammo, agar infektsiya yuzaga kelsa, Group-IB mutaxassislari to'lovni to'lashni tavsiya etmaydi, chunki:

• shu tarzda siz jinoyatchilarga yordam berasiz;
• To‘laganlarning ma’lumotlari tiklangani haqida bizda hech qanday dalil yo‘q.

Kompyuteringizni Bad Rabbit infektsiyasidan qanday himoya qilish kerak?

Yangi Bad Rabbit epidemiyasi qurboniga aylanmaslik uchun Kasperskiy laboratoriyasi mutaxassislari quyidagilarni tavsiya qiladi:

Kasperskiy laboratoriyasi antivirus yechimlari foydalanuvchilari uchun:

• Xavfsizlik yechimingizda komponentlar mavjudligini tekshiring Kasperskiy xavfsizligi Tarmoq va faoliyat monitori (aka Tizim kuzatuvchisi). Agar yo'q bo'lsa, uni yoqishni unutmang.

Kasperskiy laboratoriyasi antivirus yechimlaridan foydalanmaydiganlar uchun.

Kecha, 2017-yilning 24-oktabr kuni Rossiyaning yirik ommaviy axborot vositalari, shuningdek, Ukrainaning qator davlat idoralari noma’lum hujumchilar tomonidan hujumga uchradi. Qurbonlar orasida "Interfaks", "Fontanka" va kamida yana bitta nomi oshkor etilmagan internet nashri bor. Ommaviy axborot vositalaridan so'ng muammolar haqida ham xabar berildi Xalqaro aeroport"Odessa", Kiev metrosi va Ukraina infratuzilma vazirligi. Group-IB tahlilchilari bayonotiga ko‘ra, jinoyatchilar ham bank infratuzilmalariga hujum qilishga uringan, biroq bu urinishlar muvaffaqiyatsizlikka uchragan. ESET mutaxassislari, o‘z navbatida, hujumlar Bolgariya, Turkiya va Yaponiyadan kelgan foydalanuvchilarga ta’sir qilganini da’vo qilmoqda.

Ma'lum bo'lishicha, kompaniyalar va davlat idoralari ishidagi uzilishlarga ommaviy DDoS hujumlari emas, balki Bad Rabbit nomli to'lov dasturi sabab bo'lgan (ba'zi ekspertlar BadRabbitni bo'sh joysiz yozishni afzal ko'rishadi).

Kecha zararli dastur va uning ishlash mexanizmlari haqida kam narsa ma'lum edi: to'lov dasturi 0,05 bitkoin miqdorida to'lov talab qilayotgani xabar qilingandi, shuningdek, Group-IB ekspertlari ham hujumga bir necha kundan beri tayyorgarlik ko'rilganini aytishgan. Shunday qilib, tajovuzkorlar veb-saytida ikkita JS skripti topildi va server ma'lumotlariga ko'ra, ulardan biri 2017 yil 19 oktyabrda yangilangan.

Endi, hujumlar boshlanganiga bir kun ham o'tmagan bo'lsa-da, to'lov dasturini tahlil qilish allaqachon dunyodagi deyarli barcha yetakchi axborot xavfsizligi kompaniyalari mutaxassislari tomonidan amalga oshirilgan. Xo'sh, Bad Rabbit nima va WannaCry yoki NotPetya kabi yangi "ransomware epidemiyasi" ni kutishimiz kerakmi?

Qanday qilib Bad Rabbit soxta Flash yangilanishlari bilan ommaviy axborot vositalarida katta uzilishlarga olib keldi? Ga binoan ESET , Emsisoft Va Fox-IT, infektsiyadan so'ng, zararli dastur LSASS dan parollarni olish uchun Mimikatz yordam dasturidan foydalangan, shuningdek, eng keng tarqalgan login va parollar ro'yxatiga ega edi. Zararli dastur bularning barchasidan SMB va WebDAV orqali zararlangan qurilma bilan bir tarmoqda joylashgan boshqa serverlar va ish stantsiyalariga tarqalish uchun foydalangan. Shu bilan birga, yuqorida sanab o'tilgan kompaniyalar mutaxassislari va Cisco Talos xodimlari bunga ishonishadi Ushbu holatda SMB kamchiliklarini ishlatadigan razvedka idoralaridan o'g'irlangan asboblar yo'q edi. Shuni eslatib o'taman WannaCry viruslari va NotPetya ushbu maxsus ekspluatatsiya yordamida tarqatildi.

Biroq, mutaxassislar hali ham Bad Rabbit va Petya (NotPetya) o'rtasidagi o'xshashliklarni topishga muvaffaq bo'lishdi. Shunday qilib, to'lov dasturi nafaqat ochiq manba DiskCryptor yordamida foydalanuvchi fayllarini shifrlaydi, balki MBR (Master Boot Record) ni o'zgartiradi, shundan so'ng u kompyuterni qayta ishga tushiradi va ekranda to'lov xabarini ko'rsatadi.

Hujumchilarning talablari bo'lgan xabar NotPetya operatorlari xabari bilan deyarli bir xil bo'lsa-da, ekspertlar Bad Rabbit va NotPetya o'rtasidagi aloqa haqida bir oz boshqacha fikrlarga ega. Shunday qilib, Intezer tahlilchilari zararli dasturning manba kodi ekanligini hisoblashdi

1980-yillarning oxirlarida Jozef Popp tomonidan yozilgan OITS virusi ("PC Cyborg") "litsenziyani yangilash" uchun taxminan 200 dollar to'lashni talab qiladigan kataloglar va shifrlangan fayllarni yashirgan. Dastlab, ransomware faqat ishlaydigan kompyuterlardan foydalanadigan oddiy odamlarga qaratilgan edi Windows boshqaruvi, ammo endi tahdidning o'zi biznes uchun jiddiy muammoga aylandi: tobora ko'proq dasturlar paydo bo'lmoqda, ular arzonroq va qulayroq bo'lmoqda. Zararli dasturlardan foydalangan holda tovlamachilik Yevropa Ittifoqining 2/3 mamlakatlarida asosiy kiber tahdid hisoblanadi. Eng keng tarqalgan ransomware viruslaridan biri CryptoLocker 2013-yil sentabr oyidan beri Yevropa Ittifoqi mamlakatlaridagi chorak milliondan ortiq kompyuterni zararlagan.

2016 yilda ransomware hujumlari soni keskin oshgan - tahlilchilarning fikriga ko'ra, o'tgan yilga nisbatan yuz barobardan ko'proq. Bu o'sib borayotgan tendentsiya va biz ko'rganimizdek, butunlay boshqa kompaniyalar va tashkilotlar hujumga uchramoqda. Tahdid notijorat tashkilotlar uchun ham dolzarbdir. Har bir yirik hujum uchun zararli dasturlar yangilanadi va tajovuzkorlar tomonidan antivirus himoyasini "o'tish" uchun sinovdan o'tkaziladi, antiviruslar, qoida tariqasida, ularga qarshi kuchsizdir.

12-oktabr kuni Ukraina Xavfsizlik xizmati iyun oyidagi ransomware epidemiyasi kabi davlat idoralari va xususiy kompaniyalarga yangi yirik kiberhujumlar ehtimoli haqida ogohlantirdi. Petya emas. Ukraina razvedka xizmati ma'lumotlariga ko'ra, "hujum yangilanishlar, jumladan, ommaga ochiq amaliy dasturiy ta'minot yordamida amalga oshirilishi mumkin". Hujum holatida buni eslaylik Petya emas, tadqiqotchilar BlackEnergy guruhi bilan bog'langan, birinchi qurbonlar foydalanadigan kompaniyalar bo'lgan dasturiy ta'minot"M.E.Doc" hujjat aylanishi tizimining Ukraina ishlab chiqaruvchisi.

Keyin, dastlabki 2 soat ichida energetika, telekommunikatsiya va moliya kompaniyalari hujumga uchradi: Zaporojyeoblenergo, Dneproenergo, Dnepr elektr energetika tizimi, Mondelez International, Oschadbank, Mars, Nova Poshta, Nivea, TESA, Kiev metrosi, Vazirlar Mahkamasi kompyuterlari va Ukraina hukumati, "Auchan" do'konlari, Ukraina operatorlari ("Kyivstar", LifeCell, "UkrTeleCom"), Privatbank, Boryspil aeroporti.

Biroz oldinroq, 2017-yilning may oyida WannaCry ransomware virusi 150 ta mamlakatdagi 200 000 ta kompyuterga hujum qilgan edi. Virus Xitoydagi universitetlar, Fransiyadagi Renault va Yaponiyadagi Nissan zavodlari, Ispaniyaning Telefonica telekommunikatsiya kompaniyasi va Germaniyaning Deutsche Bahn temir yo‘l operatori tarmoqlari orqali tarqaldi. Buyuk Britaniya klinikalarida kompyuterlar bloklangani sababli operatsiyalarni keyinga qoldirishga to‘g‘ri keldi va Rossiya Ichki ishlar vazirligining hududiy bo‘linmalari haydovchilik guvohnomalarini bera olmadi. Tadqiqotchilar hujum ortida Shimoliy Koreyaning Lazarus xakerlari turganini aytishdi.

2017 yilda shifrlash viruslari yangi bosqichga ko'tarildi: Amerika razvedka xizmatlari arsenalidagi vositalar va kiberjinoyatchilar tomonidan yangi tarqatish mexanizmlaridan foydalanish xalqaro epidemiyalarga olib keldi, ularning eng kattasi WannaCry va NotPetya edi. INFEKTSION ko'lamiga qaramay, to'lov dasturining o'zi nisbatan arzimas miqdorlarni to'pladi - bu pul ishlashga urinish emas, balki korxonalar, davlat idoralari va xususiy kompaniyalarning muhim infratuzilma tarmoqlarini himoya qilish darajasini sinab ko'rish edi.