16 тысяч рублей за расшифровку. Как BadRabbit атакует российские банки и просит выкуп
Специалисты «Лаборатории Касперского» заявили: атаке вируса-шифровальщика BadRabbit подверглось около 200 компаний. Причем, речь идет не только о России, где зафиксировано больше всего «жертв». Своей целью «кролик» решил выбрать крупнейшие организации по всему миру: например, в Германии, Турции, Болгарии и Украине. В частности, атака была совершена на Киевский метрополитен и Одесский аэропорт.
Атаки BadRabbit в России
В России BadRabbit попытался совершить атаку на ряд банков. Целился на вполне конкретные организации – те, которые находятся в топ-20. Об этом в беседе с РИА Новости сообщил Илья Сачков, гендиректор компании Group-IB, которая специализируется на предотвращении и расследовании киберпреступлений.
По его словам, вирус нападал на банки, которые пользуются системой обнаружения вторжений компании. «Эти файлы приходили туда во вторник, с 13:00 до 15:00 мск. То есть, на банки этот вирус тоже пытались распространить», — сообщил Сачков. Отметив вместе с этим, что банковские организации находятся под лучшей защитой от кибератак в отличие от компаний вне небанковского сектора. Например, петербургского издания «Фонтанка», серверы которого также атаковал «кроличий вирус».
Еще она жертва массированной атаки вируса – сайт «Интерфакса». К моменту написания материала сбои в работе ресурса наблюдались в течение нескольких часов. По словам, замгендиректора агентства Юрия Погорелого, уже удалось частично восстановить работу сервисов. В частности, восстановлена работа главных международных информационных агентств, а также доставка новостей крупнейшим российским клиентам. «Мы восстановили функционал нашей системы СПАРК, и мы восстанавливаем сейчас остальные сервисы», — также отметил Погорелый. Добавив, что «Интерфакс» подвергся атаке сразу нескольких вирусов.
«Кролик» просит выкуп
Известно, что у злоумышленников, как минимум, есть конкретные «материальные интересы». Те, кто стоит за атаками, требуют выкуп за расшифровку файлов: 0,05 биткоина (примерно 283 доллара или 16 тыс. руб.). Как считает ряд экспертов, вирус распространялся с помощью зараженных СМИ.
По словам специалистов, вирусный шифровальщик представляет собой модифицированную версию вируса NotPetya, атаковавший в июне IT-системы компания по всему миру. Этот вывод был сделан после проведенного анализа, который показал, что у BadRabbit и NotPetya есть ряд совпадений в коде. Посетителям предлагалось поддельное окно для установки обновления плеера Adobe Flash. Если пользователь соглашался, то начиналась загрузка и запуск вредоносного файла.
Аналогичного мнения придерживаются и в Group-IB. «У этих вирусов, скорее всего, один и тот же автор, или тот, кто написал BadRabbit, является подражателем», – отметили представители компании. Отмечая, что BadRabbit – это не модификация NotPetya, так как у вирусов разные механизмы шифрования файлов и распространения. Вероятно, у них просто один и тот же автор.
Для атаки кибер-преступники пользуются программой Mimikatz. Она позволяет захватить с зараженной машины пользовательские логины и пароли. Кроме этого, у кода уже есть прописанные логины и пароли, что позволяет получить административный доступ.
Как защититься от вируса
Чтобы «не заразиться» вирусом, специалисты Group-IB предлагают сделать следующее: сначала нужно создать файл C:windowsinfpub.dat, а затем поставить ему права «только для чтения». «После этого даже в случае заражения файлы не будут зашифрованы», — сообщает компания. Естественно, стоит пользоваться антивирусными средствами, инструментами безопасности и обновлять операционную систему.
Написать комментарий