Плохой кролик атакует Россию и Украину, перебираясь в Европу: различия между версиями

Во вторник, 24 октября, российские и украинские организации стали жертвами вымогательского ПО Bad Rabbit. Ниже мы представим факты, известные на сегодняшний день об атаках с его использованием, а также выясним, есть ли общее черты между Bad Rabbit и NotPetya.

После запуска поддельного установщика программ с помощью процесса rundll32.exe на атакуемую систему устанавливается шифровальщик infpub.dat и шифровальщик /дешифровщик dispci.exe. В ходе атаки Bad Rabbit использует три файла. Имена двух из них являются отсылкой к популярному телесериалу «Игра престолов». Файл rhaegal.job ответственен за выполнение файла дешифровщика, а drogon.job – за блокировку компьютера жертвы. Хранящиеся на системе файлы затем шифруются, а на экране появляется уведомление с требованием выкупа.

 

==Распространение на компьютеры==

По данным компании Acronis, Bad Rabbit шифрует файлы с помощью легального драйвера ядра dcrypt.sys. ПО подписано сертификатами якобы от Symantec, благодаря чему вредоносу удается обходить антивирусные решения.

Какие действия были предприняты дальше не сообщается.

 

== Источники ==

*{{SecurityLab.ru|author=|title=Все, что известно о шифровальщике Bad Rabbit на сегодняшний день|url=https://www.securitylab.ru/news/489318.php}}