• USD 41.3
  • EUR 43
  • GBP 51.7
Спецпроекты

Киберполиция нашла в коде вируса BadRabbit отсылку к "Игре престолов"

Реклама на dsnews.ua
Киберполиция рассказала подробности действия вируса-шифровальщика "BadRabbit", который использовали хакеры для масштабной кибератаки 24 октября

Результаты предварительного анализа данных, полученных в результате работы специалистов подразделения, обнародованы на сайте Киберполиции, сообщает "ДС".

"В коде "BadRabbit" были обнаружены отсылки к фэнтезийному телесериалу "Игра престолов". Например, у запланированных задач - имена трех драконов из сериала: Drogon, Rhaegal, Viserion. Ранее похожие отсылки к популярной фэнтезийной саге были замечены мировыми экспертами в составе одного из скриптов, который использовался для распространения известного шифровальщика "Locky", - отмечается в сообщении.  

Киберполицейские также констатируют, что в коде "BadRabbit" есть дублированные и аналогичные элементы кода "Petya"/"NotPetya".  

"В отличие от "NotPetya" шифровальщик "BadRabbit" не является "вайпером", то есть у него нет цели уничтожить информацию на жестких дисках зараженных компьютеров. Специалисты отмечают, что истинной целью этой "атаки" было желание злоумышленников обогатиться, и она была осуществлена исключительно из корыстных побуждений", - заявляют в Киберполиции.  

Как информируют в пресс-службе, среди пострадавших стран Украину поразило меньше всего.  

"Киберполиция отмечает, что аудитория украинских пользователей не является массовой и составляет около 12% общего количества загрузок инфицированных обновлений", - говорится в сообщении.  

Специалисты из Киберполиции установили, что ключевое отличие между "Petya"/"NotPetya" и "BadRabbit" в разных начальных векторах атаки.  

"BadRabbit" для распространения в качестве основного вектора использует пораженные сайты, с которых пользователями загружалось фальшивое обновление Flash.  

Киберполиция предоставляет перечень пораженных интернет-сайтов, с которых было зафиксировано распространение вируса:  

hxxp://argumentiru[.]com hxxp://www.fontanka[.]ru hxxp://grupovo[.]bg hxxp://www.sinematurk[.]com hxxp://www.aica.co[.]jp hxxp://spbvoditel[.]ru hxxp://argumenti[.]ru hxxp://www.mediaport[.]ua hxxp://blog.fontanka[.]ru hxxp://an-crimea[.]ru hxxp://www.t.ks[.]ua hxxp://most-dnepr[.]info hxxp://osvitaportal.com[.]ua hxxp://www.otbrana[.]com hxxp://calendar.fontanka[.]ru hxxp://www.grupovo[.]bg hxxp://www.pensionhotel[.]cz hxxp://www.online812[.]ru hxxp://www.imer[.]ro hxxp://novayagazeta.spb[.]ru hxxp://i24.com[.]ua hxxp://bg.pensionhotel[.]com hxxp://ankerch-crimea[.]ru  

Факты поражения компьютеров жертв в результате открытия файлов электронных документов, отправленных по каналам электронной почты от неустановленных отправителей, также имели место и проверяются.  

После посещения пораженного сайта пользователю предлагается загрузить себе на компьютер исполняемый файл-загрузчик (так называемый "дроппер"), замаскированный под обновление программного обеспечения "Adobe Flash Player".

Вредоносная программа для дальнейшего срабатывания должна запускаться с правами администратора. После запуска она загружает ("дроппит") и разворачивает основной модуль с названием infpub.dat в каталоге C:\Windows , который в дальнейшем исполняется с помощью rundll32.exe Кроме infpub.dat "дроппер" в тот же каталог загружает также другие элементы вируса - файлы "cscc.dat", "bootstat.dat" и "dispci.exe".  

Файл "dispci.exe" в дальнейшем запускается с помощью запланированного задания операционной системы. Его функция заключается в установлении элемента вируса - шифровальщика загрузочной области.  

В дальнейшем вредоносная программа шифрует только файлы с заданными расширениями, в том числе .doc, .docx, .xls, .xlsx. Существует предположение, что, вероятно, используется алгоритм AES в режиме CBC.

После шифрования расширение файлов не меняется. В конце содержимого файла добавляется уникальный текст: "% encrypted", служащий маркером того, что файл был зашифрован. После этого, как и "NotPetya", "BadRabbit" создает запланированное задание для перезагрузки операционной системы.  

После завершения атаки, система перезагружается, и на экране компьютера появляется сообщение с требованием о выкупе и ссылкой на сайт в сети ТОR. За расшифровку файлов злоумышленники требуют 0,05 ВТС, что эквивалентно примерно 300 долларам США.

Сообщение визуально очень похоже на то, которое появлялось во время атаки "NotPetya".  

    Реклама на dsnews.ua