Местоположение: Россия, Москва, 125212 Ленинградское шоссе, д.39А, стр.3 БЦ «Олимпия Парк» Посмотреть на карте
Пока что предположительно от этого шифровальщика пострадали несколько российских медиа — среди них Интерфакс и Фонтанка. Также о хакерской атаке — возможно, связанной с тем же Bad Rabbit, — сообщает аэропорт Одессы.
За расшифровку файлов злоумышленники требуют 0,05 биткойна, что по современному курсу примерно эквивалентно 283 долларам или 15 700 рублям.
Результаты нашего исследования говорят о том, что Bad Rabbit распространяется через зараженные веб-сайты: пользователи скачивают фальшивый установщик Adobe Flash, вручную запускают его и тем самым заражают свои компьютеры. Наши эксперты обнаружили несколько сайтов, распространяющих данного зловреда, все они принадлежат к категории СМИ.
Большинство жертв атаки находятся в России. Также мы наблюдаем похожие атаки в Украине, Турции и Германии, но в значительно меньшем количестве. Зловред распространяется через ряд заражённых сайтов российских СМИ. Все признаки указывают на то, что это целенаправленная атака на корпоративные сети. Используются методы, похожие на те, что мы наблюдали в атаке ExPetr.
Количество попыток атак WannaCry, задетектированных «Лабораторией Касперского» в понедельник 15 мая, снизилось в шесть раз по сравнению с аналогичным показателем пятницы, 12 мая. Это позволяет предположить, что контроль над процессом заражения почти установлен.
К настоящему моменту эксперты «Лаборатории Касперского» собрали достаточно данных, чтобы связать атаку Bad Rabbit и эпидемию зловреда ExPetr, случившуюся в июне этого года. По нашим данным, часть кода, использованная в Bad Rabbit, в свое время засветилась и в ExPetr. Также схож список сайтов, использованных для распространения зловредов (часть сайтов была взломана еще в июне, но не задействовалась в атаке), совпадают и техники распространения – оба зловреда использовали для расселения по корпоративным сетям Windows Management Instrumentation Command-line (WMIC). Однако есть и различия: в отличие от ExPetr, при заражении Bad Rabbit не полагается на эксплойт Eternal Blue. Ну а для распространения по сети он использует эксплойт EternalRomance, так же применявшийся в ExPetr.
Наши эксперты считают, что за ExPetr и Bad Rabbit стоит одна и та же кибергруппировка и что эта группировка готовила атаку Bad Rabbit как минимум с июля 2017-го. Однако, в отличие от ExPetr, Bad Rabbit, похоже, является не вайпером, а шифровальщиком. Он шифрует определенные типы файлов на диске и затем подменяет загрузчик, не позволяя нормально загрузить компьютер. То, что Bad Rabbit — это не вайпер, означает, что у злоумышленников хотя бы потенциально есть возможность расшифровать пароль, который, в свою очередь, используется для расшифровки файлов и нормальной загрузки операционной системы.
К сожалению, наши эксперты пришли к выводу, что на данный момент нет способа расшифровать файлы, не имея на руках ключа шифрования. Однако, если по каким-то причинам Bad Rabbit не зашифровал диск целиком, файлы можно восстановить из теневых копий (если, конечно, теневое копирование было включено еще до заражения). Мы продолжаем изучать зловреда. Больше технических деталей можно найти в публикации на Securelist (English).
Уже известно, что продукты «Лаборатории Касперского» детектируют зловреда как:
Trojan-Ransom.Win32.Gen.ftl
Trojan-Ransom.Win32.BadRabbit
DangerousObject.Multi.Generic
PDM:Trojan.Win32.Generic
Intrusion.Win.CVE-2017-0147.sa.leak
Чтобы не стать жертвой новой эпидемии «Плохого кролика», рекомендуем сделать следующее:
Для пользователей защитных решений «Лаборатории Касперского»:
Проверьте, включены ли в вашем защитном решении компоненты Kaspersky Security Network и «Мониторинг активности» (он же System Watcher). Если нет — обязательно включите.
Для тех, кто не пользуется защитными решениями «Лаборатории Касперского»:
- Заблокируйте исполнение файла c:\windows\infpub.dat, C:\Windows\cscc.dat.
- Запретите (если это возможно) использование сервиса WMI.
Для всех:
- Сделайте бэкап.
- Не платите выкуп.
Материал подготовлен АО "Лаборатория Касперского"
www.kaspersky.com
С его помощью можно проверить, насколько ваш бизнес защищён от киберугроз и блокировок по 115-ФЗ
Антивирусная лаборатория «Доктор Веб» обнаружила семейство вредоносных программ Trojan.Scavenger, с помощью которых злоумышленники похищают конфиденциальные данные из криптокошельков и менеджеров паролей у пользователей ОС Windows
«Доктор Веб» сообщает о предстоящем обновлении песочницы Dr.Web vxCube. Изменения касаются обеих версий: облачной и локальной (on-premise).
Производитель серверного оборудования OpenYard и российский разработчик операционных систем «Базальт СПО» успешно провели тестирование ОС «Альт Сервер» на серверах компании OpenYard
«Базальт СПО» выпустила серверную операционную систему на Одиннадцатой платформе (p11 Salvia). Основные изменения коснулись установки и настройки. Впервые в одном образе доступны две редакции — «Альт Сервер» и «Альт Домен». В новом приложении «Альт Компоненты» автоматизирована установка инструментов для различных способов использования сервера.
Кибер Бэкап Облачный, сервис резервного копирования и восстановления данных (BaaS) от компании «Киберпротект», стал доступен пользователям облачной платформы RCloud by 3data. Решение позволяет организациям любого масштаба — от малых предприятий до крупного бизнеса, обеспечить надёжную защиту данных с минимальными трудозатратами, без капитальных вложений и без необходимости развёртывания собственной инфраструктуры для резервного копирования и хранения резервных копий
Киберпротект расширяет линейку инфраструктурного ПО и представляет новый продукт — Кибер Хранилище — простое в эксплуатации хранилище данных c возможностью неограниченного масштабирования и реализации геораспределенных решений.
Киберпротект сообщает о расширении линейки продуктов для защиты данных пользователей от потери. У Кибер Бэкапа Персонального теперь есть мобильная версия для устройств на базе ОС Android. Мобильное приложение работает в фоновом режиме и обеспечивает сохранность данных на планшете или смартфоне, а также их быстрое восстановление в любой непредвиденной ситуации.
Награды получили решения компании для защиты частных пользователей, малого бизнеса и крупных компаний
Ваши контактные данные не публикуются на сайте.