У кіберполіції розповіли деталі про дії вірусу "BadRabbit"
Так, для поширення вірусу використовувалися фейкові оновлення програмного забезпечення Adobe Flash Player". У коді вірусу "BadRabbit" є дубльовані та аналогічні елементи коду "Petya"/"NotPetya" (Mimikatz, використання протоколу SMB для горизонтального поширення, використовуючи імена користувачів і їхні паролі та інше).
На відміну від "NotPetya" шифрувальник "BadRabbit" не є "вайпером, тобто він не має на меті знищення інформації на жорстких дисках уражених комп'ютерів". Крім того, початкові вектори атаки відрізняються. Фахівці відзначають, що справжньою метою цієї "атаки" було бажання зловмисників збагатитися.
"BadRabbit" для поширення в якості основного вектора використовує уражені Інтернет сайти, з яких користувачами завантажувалося фальшиве оновлення "Flash". Іншою відмінністю вірусів є те, що "BadRabbit" не використовує уразливість "EternalBlue".
Слід зазначити, що серед постраждалих країн, Україну вразило менше. Аудиторія українських користувачів не є масовою і становить близько 12% від загальної кількості разів завантаження інфікованих оновлень.
У той же час, кіберполіції надала перелік уражених інтернет сайтів, з яких було зафіксовано розповсюдження фальшивих оновлень "Flash".
Після відвідування ураженого сайту, користувачеві пропонується завантажити собі на комп'ютер виконуваний файл-завантажувач (так званий "Дроппер"), який маскується під оновлення програмного забезпечення Adobe Flash Player". Шкідлива програма для подальшого спрацювання повинна запускатися з правами адміністратора. Після запуску, вона завантажує і розгортає основний модуль з назвою infpub.dat в каталозі C:\Windows, який в подальшому виконується з допомогою rundll32.exe.
Крім infpub.dat "Дроппер" в той же каталог завантажує і інші елементи вірусу - файли cscc.dat", "bootstat.dat" і "dispci.exe". Файл "dispci.exe" надалі запускається за допомогою запланованого завдання операційної системи. Його функція полягає у встановленні елемента вірусу - шифровальщика завантажувальної області.
Надалі шкідлива програма шифрує файли з вибраними розширеннями, в тому числі .doc, .docx, .xls, .xlsx. Існує припущення, що використовується ймовірно алгоритм AES в режимі CBC. Після шифрування, розширення файлів не змінюється. У кінці вмісту файлу додається унікальний текст: "% encrypted", який є маркером того, що файл був зашифрований.
Після завершення атаки, система перезавантажується і на екрані комп'ютера з'являється повідомлення з вимогою про викуп посиланням на сайт в мережі ТОR. За розшифровку файлів зловмисники вимагають 0,05 ВТС, що еквівалентно близько $300. Повідомлення візуально дуже схоже на те, яке з'являлося під час атаки "NotPetya".
Також працівники кіберполіції встановили, що в коді "BadRabbit" були виявлені відсилання до телесеріалу "Гра престолів".
Рекомендації для користувачів, щоб не стати жертвою вірусу-шифровальщика чи вимагача:
- робіть тіньове копіювання файлів для відновлення даних у разі шифрування;
- дозволити виконання файлів c: \ windows \ infpub.dat, C: \ Windows \ cscc.dat;
- забороніть (якщо це можливо) використання служби WMI;
- забороніть виконання наступних завдань: viserion_, rhaegal, drogon;
- проведіть оновлення операційної системи і системи безпеки;
- заблокуйте ip-адреси і доменні імена з яких відбувалося поширення шкідливих файлів;
- налаштування групової політики забороніть зберігання паролів в LSA Dump у відкритому вигляді;
- змінити всі паролі на складні для запобігання атаки по словнику (brute-force)
- налаштуйте блокування спливаючих вікон в браузері;
- застосувати сучасні засоби виявлення вторгнень і пісочницю ("sandbox") для аналізу підозрілих файлів.