Киберполиция нашла в коде вируса BadRabbit отсылку к "Игре престолов"
Результаты предварительного анализа данных, полученных в результате работы специалистов подразделения, обнародованы на сайте Киберполиции, сообщает "ДС".
"В коде "BadRabbit" были обнаружены отсылки к фэнтезийному телесериалу "Игра престолов". Например, у запланированных задач - имена трех драконов из сериала: Drogon, Rhaegal, Viserion. Ранее похожие отсылки к популярной фэнтезийной саге были замечены мировыми экспертами в составе одного из скриптов, который использовался для распространения известного шифровальщика "Locky", - отмечается в сообщении.
Киберполицейские также констатируют, что в коде "BadRabbit" есть дублированные и аналогичные элементы кода "Petya"/"NotPetya".
"В отличие от "NotPetya" шифровальщик "BadRabbit" не является "вайпером", то есть у него нет цели уничтожить информацию на жестких дисках зараженных компьютеров. Специалисты отмечают, что истинной целью этой "атаки" было желание злоумышленников обогатиться, и она была осуществлена исключительно из корыстных побуждений", - заявляют в Киберполиции.
Как информируют в пресс-службе, среди пострадавших стран Украину поразило меньше всего.
"Киберполиция отмечает, что аудитория украинских пользователей не является массовой и составляет около 12% общего количества загрузок инфицированных обновлений", - говорится в сообщении.
Специалисты из Киберполиции установили, что ключевое отличие между "Petya"/"NotPetya" и "BadRabbit" в разных начальных векторах атаки.
"BadRabbit" для распространения в качестве основного вектора использует пораженные сайты, с которых пользователями загружалось фальшивое обновление Flash.
Киберполиция предоставляет перечень пораженных интернет-сайтов, с которых было зафиксировано распространение вируса:
hxxp://argumentiru[.]com hxxp://www.fontanka[.]ru hxxp://grupovo[.]bg hxxp://www.sinematurk[.]com hxxp://www.aica.co[.]jp hxxp://spbvoditel[.]ru hxxp://argumenti[.]ru hxxp://www.mediaport[.]ua hxxp://blog.fontanka[.]ru hxxp://an-crimea[.]ru hxxp://www.t.ks[.]ua hxxp://most-dnepr[.]info hxxp://osvitaportal.com[.]ua hxxp://www.otbrana[.]com hxxp://calendar.fontanka[.]ru hxxp://www.grupovo[.]bg hxxp://www.pensionhotel[.]cz hxxp://www.online812[.]ru hxxp://www.imer[.]ro hxxp://novayagazeta.spb[.]ru hxxp://i24.com[.]ua hxxp://bg.pensionhotel[.]com hxxp://ankerch-crimea[.]ru
Факты поражения компьютеров жертв в результате открытия файлов электронных документов, отправленных по каналам электронной почты от неустановленных отправителей, также имели место и проверяются.
После посещения пораженного сайта пользователю предлагается загрузить себе на компьютер исполняемый файл-загрузчик (так называемый "дроппер"), замаскированный под обновление программного обеспечения "Adobe Flash Player".
Вредоносная программа для дальнейшего срабатывания должна запускаться с правами администратора. После запуска она загружает ("дроппит") и разворачивает основной модуль с названием infpub.dat в каталоге C:\Windows , который в дальнейшем исполняется с помощью rundll32.exe Кроме infpub.dat "дроппер" в тот же каталог загружает также другие элементы вируса - файлы "cscc.dat", "bootstat.dat" и "dispci.exe".
Файл "dispci.exe" в дальнейшем запускается с помощью запланированного задания операционной системы. Его функция заключается в установлении элемента вируса - шифровальщика загрузочной области.
В дальнейшем вредоносная программа шифрует только файлы с заданными расширениями, в том числе .doc, .docx, .xls, .xlsx. Существует предположение, что, вероятно, используется алгоритм AES в режиме CBC.
После шифрования расширение файлов не меняется. В конце содержимого файла добавляется уникальный текст: "% encrypted", служащий маркером того, что файл был зашифрован. После этого, как и "NotPetya", "BadRabbit" создает запланированное задание для перезагрузки операционной системы.
После завершения атаки, система перезагружается, и на экране компьютера появляется сообщение с требованием о выкупе и ссылкой на сайт в сети ТОR. За расшифровку файлов злоумышленники требуют 0,05 ВТС, что эквивалентно примерно 300 долларам США.
Сообщение визуально очень похоже на то, которое появлялось во время атаки "NotPetya".