Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Какво представлява криптовирусът Bad Rabbit?

Следвайки стъпките на предшествениците си WannaCry и NotPetya, новият криптовирус започна да набира скорост

27 октомври 2017
3679 прочитания
6 одобрения
0 неодобрения

Нов криптовирус, наречен “Bad Rabbit”, набира скорост, като за момента се разпространява предимно в Русия и Украйна, където редица организации вече са станали негова жертва. Какво трябва да знаете за него?

Какво прави?

Криптовирусът вече зарази няколко големи руски уебсайта, включително този на ИА “Интерфакс”, както и украинско летище и метро системата в Киев. Американски представители заявиха, че съобщенията за Bad Rabbit са били получени от "много страни по света".

Криптовирусите - злонамерен софтуер, който блокира достъпа до съдържанието на инфектираната система и изисква плащане, за да бъде отключена – далеч не е ново явление. WannaCry, а след това и Petya, предизвикаха огромен хаос в глобален мащаб по-рано тази година.

Техният наследник - Bad Rabbit – от своя страна, криптира компютъра и след това изисква плащане от 0,05 биткойна, което се равнява на малко над 200 лири стерлинги (около 440 лева).

Размерът на плащането, който е нищожен за някои от засегнатите организации, предполага използването на тактиката  на "случайните жертви" (т.е. плати и се моли да ти пратят отключващ код), при която авторът на кампанията се надява, че жертвите ще сметнат, че минималният откуп е несъизмерим с ефекта от повредената от криптовируса информация . Разбира се, няма никакви гаранции, че ако платите, ще ви върнат достъпа до данните, а има и доклади от предишни жертви на криптовируси, които впоследствие откриват, че правоохранителните органи са се намесили, за да предотвратят плащания.

2

Как работи?

Kaspersky Lab отбелязва, че при посещение на легитимен уебсайт злонамереният софтуер се изтегля от инфраструктурата на атакуващия - hxxp: // 1dnscontrol [.] Com / flash_install.php

Криптовирусът, който е прикрит като инсталатор за Adobe Flash - файлът се нарича install_flash_player.exe, не се инсталира автоматично. Той изисква администраторски права и ако бъде стартиран, ще задейства злонамерен DLL като infpub.dat и ще стартира с rundl32.

Kaspersky Lab твърди също така, че този DLL изглежда е в състояние да преодолее защитния протокол за идентификация NT Lan Manager (NTLM).

Според изследователи по сигурността в Cylance infpub.dat има 5 вградени изпълними програми:

  • Две версии на Mimikatz, x86 и x64, които изследват заразената конфигурация за пълномощия, предназначени за достъп до други устройства (мислете за корпоративни мрежи).
  • Две версии на подписан драйвер, също x86 и x64, за физически достъп до зареждащия сектор и пълно криптиране на диска.
  • Модул, който заразява записа за зареждане и произвежда съобщението за откуп.

Когато вече се намира на дадено устройство, infpub.dat ще инсталира злонамерен изпълним файл dispci.exe в C:\ Windows и ще насрочи задача за стартиране на файла. Кодовата база на discpi изглежда подобна на помощната програма с отворен код DiskCryptor, обясняват от Kaspersky, но се използва за криптиране на файлове и инсталиране на модифициран запис за зареждане.

3

Противодействие

На първо място инсталирайте лесно достъпни и безплатни защити на вашата система: най-малко Windows Defender трябва да е активиран и да работи. Също така трябва да се уверите предварително, че платените антивирусни продукти, които използвате, могат да предпазят устройството от този вид злонамерен софтуер.

Изследователите от Cybereason Амит Серпер и Майк Ячовачи твърдят, че са разработили начин за предотвратяване на атаката с Bad Rabbit. Техните техники, изброени стъпка по стъпка в блога на Cybereason, препоръчват серия от мерки.

За служителите на организации, които са установили, че са били засегнати, Питър Гручут, директор на екипа по възстановяване при бедствия Databarracks, препоръчва да се насочат директно към отдела за управление на кризи, който разполага с най-големи възможности да изолира зловреден софтуер, да намери точното място, от което е започнала инфекцията, и да вземе незабавни оперативни мерки, за да излезете в офлайн режим.

"След като идентифицирате чистите данни, можете да започнете възстановяването и тестването на системата и данните, преди да се върнете отново в мрежата", казва той.

Междувременно Матиас Майер от Splunk обръща внимание на добрата практика бизнесът да наблюдава постоянно цялата си дейност в ИТ екосистемата, което дава възможност на аналитичните организации да засичат нередовни модели, които биха могли да бъдат показателни за наличието на злонамерени актьори. "Екипите по сигурността трябва да могат да анализират дали тяхната среда е потенциално уязвима и ако видят някакви показатели за начална инфекция, да могат бързо да предприемат подходящи противодействия", казва Майер и добавя: “Например - изглежда, че Bad Rabbit създава три нови планирани задачи в дадена система, включително принудително рестартиране. Чрез търсенето на тези конкретни симптоми в наблюдаваните данни от регистрационните файлове организацията ще може да идентифицира по-рано пациента нула и да действа, за да изолира влиянието му."

6 одобрения
0 неодобрения
Още от рубрика "Защита и сигурност"
КОМЕНТАРИ ОТ  
daigege6
08:44, 30 октомври 2017
chanyuan2017.10.30 [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ] [ препратка ]
1
одобрения: 0
Трябва да сте регистриран потребител, за да коментирате статията
"Какво представлява криптовирусът Bad Rabbit?"



    

абонамент за бюлетина