Портал VSLineS -это множество последних новостей, полезных и необходимых сервисов, информации, бесплатных программ, необходимых советов по Windows Vista и многое, многое другое. И помните - Портал VSLineS  всегда рядом ! VSLineS.ru - место, где знакомятся влюблённые!
Регистрация или вход Регистрация или вход Рефераты | Форум | Купи DVD | Хостинг | Знакомства | В избранное | Мир женщин
Навигация
ГлавнаяГлавная
 Все Новости Все Новости
Бесплатные прогр.Бесплатные прогр.
Дать объявлениеДать объявление
Информер RSSИнформер RSS
КонтактыКонтакты
Необходимо!Необходимо!
Новости от васНовости от вас
ПОИСК по порталуПОИСК по порталу
ПользователиПользователи
Разное-полезноеРазное-полезное
Сообщи другимСообщи другим
ЧаВо (FAQ)ЧаВо (FAQ)
Новый soft бесплатно
Windows 10 Media Creation...
RemoveIT Pro
Zona
Windows Repair
WinToFlash
ElCleaner
iDevice Manager
oCam Screen Recorder
SlimDrivers
The Tribez - Туземцы (Win...
Winamp Full
Video to Video Converter ...
Power8
FortiClient для защиты от...
Моментальная оплата
 ТЕЛЕФОНА
Оплатить в

Рекомендации - Шифровальщик Bad Rabbit: как заражает и как лечится

Слухи, факты, проверенные сообщения Шифровальщик Bad Rabbit («Плохой кролик») атакует пользователей из России и УкраиныBad RabbitПлохой кролик»)  некоторые технический подробности шифровальщика, который распространяется через взломанные сайты и поддельное обновление Adobe Flash.

 Bad Rabbit атаковал преимущественно пользователей из России и Восточной Европы через взломанные веб-сайты, которые показывали фальшивые предложения обновить Adobe Flash.

Когда пользователь нажимал на эти уведомления, на компьютер загружался файл install_flash_player.exe.

 Когда install_flash_player.exe запускался, он извлекал файл C:Windowsinfpub.dat и выполнял команду C:Windowssystem32rundll32.exe C:Windowsinfpub.dat, #1 15.

После исполнения Infpub.dat создает файлы C:Windowscscc.dat и C:Windowsdispci.exe.

Файл сscc.dat на самом деле является переименованной копией драйвера dcrypt.sys из DiskCryptor. Затем Infpub.dat создает службу Windows под названием Windows Client Side Caching DDriver, которая используется для запуска драйвера cscc.dat.

Infpub.dat также создает запланированную задачу, которая запускает файл dispci.exe, когда пользователь входит в систему. Эта задача называется Rhaegal, вероятно, в честь одного из драконов из “Игры престолов”. Эта запланированная задача выполняет команду “C:Windowsdispci.exe” -id [id] && exit.

Драйвер cscc.dat вместе с файлом dispci.exe используется для шифрования диска и изменения основной загрузочной записи. Затем, когда жертва включает свой компьютер, отображается заметка с информацией по оплате выкупа.

Bad Rabbit: Экран блокировки


После установки компонентов DiskCryptor, Infpub.dat также будет выполнять шифрование файлов в режиме пользователя на компьютере жертвы. Эти файлы будут зашифрованы с помощью алгоритма шифрования AES. Затем ключ шифрования AES, используемый для шифрования файлов, будет в свою очередь зашифрован с помощью открытого ключа RSA-2048. В настоящее время неизвестно, где хранится окончательный зашифрованный ключ, он может быть добавлен в зашифрованные файлы.

В отличие от других программ-вымогателей, когда Bad Rabbit зашифровывает файлы, он не добавляет новое расширение к имени зашифрованного файла. Тем не менее, он добавляет строку "encrypted" в конец каждого зашифрованного файла

Интересно, что Infpub.dat также содержит возможность распространения через протокол SMB на другие компьютеры. Угроза пытается получить доступ к сетевым ресурсам через SMB через учетные данные, украденные с компьютера жертвы, или попробовав список включенных имен пользователей и паролей. Если шифровальщик сможет получить доступ к удаленному сетевому ресурсу, он скопирует себя и выполнит шифрование на другом компьютере.

Наконец, Bad Rabbit создаст еще две запланированные задачи, которые используются для перезагрузки компьютера. Эти запланированные задания также названы в честь драконов из “Игры Престолов” - Drogon и Viserion. Эти задачи используются для выключения и перезагрузки компьютера с целью запуска других программ при входе в систему или, в конечном итоге, отображения экрана блокировки загрузки перед запуском Windows.

Как можно видеть, в Bad Rabbit заложено много различных функций, и ожидается, что они будут полностью раскрыты, так как различные эксперты по компьютерной безопасности занимаются анализом угрозы.

Что делать, если произошло заражение Bad Rabbit?

Эпидемии шифровальщиков WannaCry и NotPetya показали, что необходимо вовремя обновлять установленные программы и систему, а также делать резервные копии, чтобы не остаться без важной информации после атаки вирусов.

Однако, если заражение произошло эксперты из Group-IB не рекомендуем платить выкуп, так как:

  • таким образом вы помогаете преступникам;
  • у нас нет доказательств, что данные тех, кто заплатил, были восстановлены.

Как защитить компьютер от заражения Bad Rabbit?

Чтобы не стать жертвой новой эпидемии Bad Rabbit («Плохой кролик»), специалисты «Лаборатории Касперского» рекомендуют сделать следующее:

Для пользователей антивирусных решений «Лаборатории Касперского»:

  • Проверьте, включены ли в вашем защитном решении компоненты Kaspersky Security Network и «Мониторинг активности» (он же System Watcher). Если нет — обязательно включите.

Для тех, кто не пользуется антивирусными решениями «Лаборатории Касперского»:

  • Заблокируйте исполнение файла C:windowsinfpub.dat, C:Windowscscc.dat (выставить атрибут файла «только для чтения»).
  • Запретите (если это возможно) использование сервиса WMI.

Для всех:

В случае выхода патчей или дополнительных утилит., они будут представлены для загрузки.

По материалам comss.ru

Разместил: VSLineS | Дата: 25.10.2017
[ Напечатать статью | Отправить другу ]
Рейтинг статьи

Средняя оценка: 0.00/0Средняя оценка: 0Всего голосов:0

Отлично
Хорошо Нормально Пойдёт Плохо
Смотрите также связанные темы

2017-03-10 07:18:00 - Открыт прием заявок на закрытый бета-тест Quake Champions
2015-12-09 05:26:00 - В России открылся официальный онлайн-магазин Microsoft
2015-05-22 11:31:00 - Российские студенты победили на чемпионате мира по программированию
2013-12-11 11:34:00 - Топ-10 технологий 2013 года
2013-12-03 12:00:00 - Мифы, которые стоят вам денег
2012-04-05 11:23:00 - Panda Cloud Antivirus признан лучшим бесплатным антивирусом
2012-04-01 07:56:00 - Браузерная игра от корпорации Mozilla
2012-02-04 07:36:00 - Cброс пароля в Windows 7
2012-01-20 10:06:00 - 6 июня 2012 года - день всемирного запуска IPv6
2011-12-03 09:01:00 - Для прелестных девушек и не только. Эс как доллар, или Диктую по буквам
Комментарии

shax
Дата: 25.10.2017 | Комментарий: 1
shaxСпасибо за своевременную информацию.
Дата регистрации: 24.10.2007
Нельзя анонимно СКАЧАТЬ файл, ОТПРАВИТЬ комментарий! Пожалуйста ЗАРЕГИСТРИРУЙТЕСЬ.

Новые алгоритмы поиска : слева - на лету, справа - система поиска по лучшим порталам.

Пользовательского поиска
Нет содержания для этого блока!
Аккаунт Инфо
Добро пожаловать,
Guest

Регистрация или входРегистрация или вход
Потеряли пароль?Потеряли пароль?

Логин:
Пароль:

Сейчас онлайн
ПользователейПользователей: 0
ГостейГостей: 38
ВсегоВсего: 38
Последние статьи на портале VSLineS
Обзор бесплатных видеоред...
ICE Book Reader – чтение ...
Cекреты VLC media player
Создание мультизагрузочно...
Создание дискеты восстано...
Реклама
Получи БЕСПЛАТНО до 9 999 посетителей на Свой сайт ежедневно!
софт в Allsoft.ru
поиск программ
Знакомьтесь !
Счетчики
Internet MapРейтинг@Mail.ru
Главная | Новости | Рефераты | Доска объяв. | Тесты | Работа | Каталог сайтов | Статьи | ИТ в медицине | Купи-продай
Генерация: 0.040 сек. и 13 запросов к базе данных за 0.021 сек.
Powered by SLAED CMS © 2005-2008 SLAED. All rights reserved.
Экспорт новостей в формате RSS