Bad Rabbit: новая эпидемия шифровальщика

24 октября началась новая масштабная кибератака с использованием вируса-шифровальщика Bad Rabbit.

По предварительным данным BadRabbit — модификация вируса NotPetya, который заразил компьютеры по всему миру в июне этого года.

В атаке NotPetya содержался такой же алгоритм вычисления хеш суммы от имени процесса, с тем отличием, что начальный вектор инициализации в случае NotPetya 0x12345678, а в BadRabbit - 0x87654321. Также в текущей атаке поменялось количество искомых имен процессов, а сама функция вычисления хеша была скомпилирована в виде отдельной функции компилятором.

После захода на зараженный ресурс пользователю предлагалось обновить flash-плеер. В случае нажатия кнопки данные на его компьютере зашифровывались. Вирус также крал пароли с его устройства и с их помощью зашифровывал другие компьютеры, находящиеся с ним в одной сети.
По данным Group-IB, IP домена, раздававшего вирусы, связаны с пятью ресурсами, на владельцев которых зарегистрированы множество других сайтов, в том числе фарм-партнерок (сайты, продающие поддельные медикаменты через спам).

Хакеры просят своих жертв перейти по ссылке ведущей на onion-сайт, на нем запускается автоматический счетчик. За разблокировку каждого компьютера злоумышленники требуют выкуп в 0,05 биткоина ($283).


От атаки уже пострадал ряд государственных учреждений на Украине, а также организации в России, Турции и Германии.

Уже известно, что продукты «Лаборатории Касперского» детектируют один из компонентов зловреда как UDS:DangerousObject.Multi.Generic (с помощью облачного сервиса Kaspersky Security Network), как PDM:Trojan.Win32.Generic (с помощью System Watcher), а также как Trojan—Ransom.Win32.Gen.ftl.

Рекомендации для предотвращения данного инцидента:

  • Заблокируйте исполнение файла c:\windows\infpub.dat, C:\Windows\cscc.dat;
  • Запретите (если это возможно) использование сервисов WMI, PowerShell.

В целях превентивных мер защиты от заражения подобным вредоносным программным обеспечением, рекомендуем:

  • Настроить средства защиты в режиме «Default Deny» (запрет по умолчанию), в том числе, запрет запуска неизвестного исполняемого кода (если возможно, библиотек);
  • Настроить защиту от атак типа BadUSB;
  • Включить защиту от эксплойтов (код, использующий уязвимости в программном обеспечении);
  • Заблокировать возможность исполнения любых скриптов (VBScript, JavaScript, PowerShell и др.) если они не используются для администрирования;
  • Своевременно устанавливать обновления операционных систем, прикладного программного обеспечения и антивирусных баз;
  • Обновлять сигнатуры IPS и других сигнатурных средств защиты информации.

В части парольной политики:

  1. Настройками групповой политики запретите хранение паролей в LSA Dump в открытом виде;
  2. Смените все пароли на сложные для предотвращения брута по словарю;
  3. Поставьте блокировку всплывающих окон;
  4. Применяйте современные средства обнаружения вторжений и песочницу для анализа файлов;

По состоянию на утро 25 октября информации о заражении вирусом на территории Республики Казахстан, в Службу реагирования на компьютерные инциденты не поступала.