24 октября 2017 года, российские СМИ и ряд крупных украинских компаний, а также госучреждений, подверглись атаке вируса Bad Rabbit. Вчера о вирусе почти ничего известно не было, однако сегодня анализ шифровальщика провели практически все ведущие ИБ-компании мира.
По сообщениям специалистов перебои в работе СМИ были вызваны не массовыми DDoS-атаками, а малварью, которая носит имя Bad Rabbit. Вирус распространялся под видом фейковых обновлений и установщиков Adobe Flash. При заражении ПК вирусом, он зашифровывал пользовательские файлы с помощью опенсорсного DiskCryptor, и модифицировал MBR (Master Boot Record). После этого ПК перезагружался и на экран выводилось сообщение с требованием выкупа в размере 0,05 биткоина.
На сегодня известно, что атаки затронули российские издания «Интерфакс», «Фонтанка», о которых мы сообщали вчера, а также еще одно издание, которое пожелало остаться неназванным. Немного позже об атаке вируса сообщили Международный аэропорт «Одесса», Киевский метрополитен и украинское Министерство инфраструктуры. Злоумышленники пытались атаковать банковские учреждения, но эти попытки не имели успеха, зато стало известно о пострадавших пользователях из Болгарии, Турции и Японии.
Поскольку для распространения малвари не использовались эксплойты, то фактически загрузить и запустить действие вируса должен сам пользователь, поэтому специалисты считают, что массовых атак подобных WannaCry или NotPetya опасаться не стоит.
Меры защиты ПК от заражения стандартны: не открывать подозрительные ссылки из электронных писем или сообщений соцсетей, использовать антивирусное ПО, не загружать обновления с неизвестных сайтов. Кроме того, специалисты советуют:
- заблокировать исполнение файлов c:\windows\infpub.dat, C:\Windows\cscc.dat;
- запретить (если можно) использование сервиса WMI.
Хотя ИБ-компании и нашли некоторое сходство Bad Rabbit с вирусом NotPetya, сообщается, что действие малвари разное. Основным отличием является назначение вредоноса: Bad Rabbit не является вайпером, то есть не стирает информацию с жесткого диска.