Портал VSLineS

Шифровальщик Bad Rabbit: как заражает и как лечится
Дата: 25.10.2017
Тема: Слухи, факты, проверенные сообщения


Шифровальщик Bad Rabbit («Плохой кролик») атакует пользователей из России и УкраиныBad RabbitПлохой кролик»)  некоторые технический подробности шифровальщика, который распространяется через взломанные сайты и поддельное обновление Adobe Flash.

 Bad Rabbit атаковал преимущественно пользователей из России и Восточной Европы через взломанные веб-сайты, которые показывали фальшивые предложения обновить Adobe Flash.

Когда пользователь нажимал на эти уведомления, на компьютер загружался файл install_flash_player.exe.

 Когда install_flash_player.exe запускался, он извлекал файл C:Windowsinfpub.dat и выполнял команду C:Windowssystem32rundll32.exe C:Windowsinfpub.dat, #1 15.

После исполнения Infpub.dat создает файлы C:Windowscscc.dat и C:Windowsdispci.exe.

Файл сscc.dat на самом деле является переименованной копией драйвера dcrypt.sys из DiskCryptor. Затем Infpub.dat создает службу Windows под названием Windows Client Side Caching DDriver, которая используется для запуска драйвера cscc.dat.

Infpub.dat также создает запланированную задачу, которая запускает файл dispci.exe, когда пользователь входит в систему. Эта задача называется Rhaegal, вероятно, в честь одного из драконов из “Игры престолов”. Эта запланированная задача выполняет команду “C:Windowsdispci.exe” -id [id] && exit.

Драйвер cscc.dat вместе с файлом dispci.exe используется для шифрования диска и изменения основной загрузочной записи. Затем, когда жертва включает свой компьютер, отображается заметка с информацией по оплате выкупа.

Bad Rabbit: Экран блокировки


После установки компонентов DiskCryptor, Infpub.dat также будет выполнять шифрование файлов в режиме пользователя на компьютере жертвы. Эти файлы будут зашифрованы с помощью алгоритма шифрования AES. Затем ключ шифрования AES, используемый для шифрования файлов, будет в свою очередь зашифрован с помощью открытого ключа RSA-2048. В настоящее время неизвестно, где хранится окончательный зашифрованный ключ, он может быть добавлен в зашифрованные файлы.

В отличие от других программ-вымогателей, когда Bad Rabbit зашифровывает файлы, он не добавляет новое расширение к имени зашифрованного файла. Тем не менее, он добавляет строку "encrypted" в конец каждого зашифрованного файла

Интересно, что Infpub.dat также содержит возможность распространения через протокол SMB на другие компьютеры. Угроза пытается получить доступ к сетевым ресурсам через SMB через учетные данные, украденные с компьютера жертвы, или попробовав список включенных имен пользователей и паролей. Если шифровальщик сможет получить доступ к удаленному сетевому ресурсу, он скопирует себя и выполнит шифрование на другом компьютере.

Наконец, Bad Rabbit создаст еще две запланированные задачи, которые используются для перезагрузки компьютера. Эти запланированные задания также названы в честь драконов из “Игры Престолов” - Drogon и Viserion. Эти задачи используются для выключения и перезагрузки компьютера с целью запуска других программ при входе в систему или, в конечном итоге, отображения экрана блокировки загрузки перед запуском Windows.

Как можно видеть, в Bad Rabbit заложено много различных функций, и ожидается, что они будут полностью раскрыты, так как различные эксперты по компьютерной безопасности занимаются анализом угрозы.

Что делать, если произошло заражение Bad Rabbit?

Эпидемии шифровальщиков WannaCry и NotPetya показали, что необходимо вовремя обновлять установленные программы и систему, а также делать резервные копии, чтобы не остаться без важной информации после атаки вирусов.

Однако, если заражение произошло эксперты из Group-IB не рекомендуем платить выкуп, так как:

  • таким образом вы помогаете преступникам;
  • у нас нет доказательств, что данные тех, кто заплатил, были восстановлены.

Как защитить компьютер от заражения Bad Rabbit?

Чтобы не стать жертвой новой эпидемии Bad Rabbit («Плохой кролик»), специалисты «Лаборатории Касперского» рекомендуют сделать следующее:

Для пользователей антивирусных решений «Лаборатории Касперского»:

  • Проверьте, включены ли в вашем защитном решении компоненты Kaspersky Security Network и «Мониторинг активности» (он же System Watcher). Если нет — обязательно включите.

Для тех, кто не пользуется антивирусными решениями «Лаборатории Касперского»:

  • Заблокируйте исполнение файла C:windowsinfpub.dat, C:Windowscscc.dat (выставить атрибут файла «только для чтения»).
  • Запретите (если это возможно) использование сервиса WMI.

Для всех:

В случае выхода патчей или дополнительных утилит., они будут представлены для загрузки.

По материалам comss.ru




Это статья опубликована на сайте: http://vslines.info
Ссылка на эту статью: http://vslines.info/index.php?name=News&op=article&sid=614