Викиновости

Плохой кролик атакует Россию и Украину, перебираясь в Европу: различия между версиями

Интерактивная навигация по истории
[непроверенная версия][непроверенная версия]
← Предыдущая правкаСледующая правка →
Содержимое удалено Содержимое добавлено
ВизуальныйВики-текст
Подробности распространения. Технически и понятным для людей языком.
Ну раз хочется техническую сторону описать, то возьмём весь текст, иначе важные подробности упускаются. Оформление.
Строка 3:
{{тема|Хакерские атаки|Россия|Украина}}
[[Файл:Fierce_Bad_Rabbit.jpg|thumb|left|300px|Зловредный компьютерный вирус ''Bad Rabbit'' атакует СМИ]]
Во вторник, [[24 октября 2017 года]], [[Россия|российские]] и [[Украина|украинские]] организации стали жертвами вируса-вымогателя ''[[Bad Rabbit]]'' (плохой кролик).
 
Жертвой вируса [https://www.facebook.com/ilya.sachkov/posts/1530257570394579 стали] три российских СМИ, среди которых [[Интерфакс]] и [[w:Фонтанка.ру|Фонтанка.ру]].
Строка 17:
С технической стороны, по [https://blog.trendmicro.com/trendlabs-security-intelligence/bad-rabbit-ransomware-spreads-via-network-hits-ukraine-russia/ данным] экспертов из [[w:Trend Micro|Trend Micro]], ''Bad Rabbit'' распространяется посредством атаки ''watering hole'' (букв. «отверстие для полива»), предполагающей заражение web-сайтов, часто посещаемых потенциальными жертвами. Когда жертва попадает на заражённый сайт, ей предлагается установить поддельный ''[[w:Adobe Flash|Flash Player]]'' с именем <code>install_flash_player.exe</code> с контролируемого хакерами сайта. В настоящее время ссылка <code>hxxp://1dnscontrol.com/flash_install</code>, по которой предлагалось скачать поддельный плеер, уже неактивна.
 
После запуска поддельного установщика программ с помощью процесса <code>rundll32.exe</code> на атакуемую систему устанавливается шифровальщик <code>infpub.dat</code> и шифровальщик/дешифровщик <code>dispci.exe</code>.
 
После запуска поддельного установщика программ с помощью процесса rundll32.exe на атакуемую систему устанавливается шифровальщик infpub.dat и шифровальщик /дешифровщик dispci.exe. В ходе атаки ''Bad Rabbit'' использует три файла. Имена двух из них являются отсылкой к [[Игра престолов (телесериал)|популярному телесериалу «Игра престолов»]]. Файл <code>rhaegal.job</code> ответственен за выполнение файла дешифровщика, а <code>drogon.job</code> — за блокировку компьютера жертвы. Хранящиеся на системе файлы затем шифруются, а на экране появляется уведомление с требованием выкупа.
Третий файл, <code>viserion_23.job</code>, второй раз перезагружает систему, после чего доступ к ней блокируется, а на экран выводится еще одно уведомление с требованием заплатить выкуп за ключ для дешифровки.
 
Bad Rabbit инфицирует другие компьютеры в сети путемпутём загрузки в неенеё своих копий и выполнения их с помощью легальных инструментов [[w:WMI|''Windows Management Instrumentation'' (WMI)]] и ''[[Service Control Manager Remote Protocol]]'' (см. [[w:Диспетчер управления службами|Диспетчер управления службами]]). При использовании ''Service Control Manager Remote Protocol'' вредонос осуществляет атаку по словарю для получения учетныхучётных данных.
После запуска поддельного установщика программ с помощью процесса rundll32.exe на атакуемую систему устанавливается шифровальщик infpub.dat и шифровальщик /дешифровщик dispci.exe. В ходе атаки Bad Rabbit использует три файла. Имена двух из них являются отсылкой к популярному телесериалу «Игра престолов». Файл rhaegal.job ответственен за выполнение файла дешифровщика, а drogon.job — за блокировку компьютера жертвы. Хранящиеся на системе файлы затем шифруются, а на экране появляется уведомление с требованием выкупа.
 
Среди других легальных инструментов, предположительно применяемых вредоносом для получения учетныхучётных данных, эксперты называют утилиту с открытым исходным кодом ''[[Mimikatz]]'' ([https://github.com/gentilkiwi/mimikatz на github]). Исследователи также обнаружили признаки использования законного инструмента [[w:DiskCryptor|DiskCryptor]] для шифрования файлов на атакуемых компьютерах.
Bad Rabbit инфицирует другие компьютеры в сети путем загрузки в нее своих копий и выполнения их с помощью легальных инструментов Windows Management Instrumentation (WMI) и Service Control Manager Remote Protocol. При использовании Service Control Manager Remote Protocol вредонос осуществляет атаку по словарю для получения учетных данных.
Хранящиеся на системе файлы затем шифруются, а на экране появляется уведомление с требованием выкупа.
Среди других легальных инструментов, предположительно применяемых вредоносом для получения учетных данных, эксперты называют утилиту с открытым исходным кодом Mimikatz. Исследователи также обнаружили признаки использования законного инструмента DiskCryptor для шифрования файлов на атакуемых компьютерах.
 
По данным компании ''[[w:Acronis|Acronis]]'', ''Bad Rabbit'' шифрует файлы с помощью легального драйвера ядра <code>dcrypt.sys</code>. ПО подписано сертификатами якобы от [[w:Symantec|Symantec]], благодаря чему вредоносу удается обходить [[w:Антивирусная программа|антивирусные решения]].
 
Какие действия были предприняты дальше не сообщается.
В [[Украина обвинила Россию в кибератаках|отличие]] от шифровальщика ''[[NotPetya]]'', ''Bad Rabbit'' не эксплуатирует уязвимость в файл-сервере <code>srv.sys</code>. Кроме того, шифрование диска осуществляется без имитации работы <code>chkdsk.exe</code>, сообщает [[РБК]] со ссылкой на экспертов ''Acronis''. По мнению исследователей, ''NotPetya'' и ''Bad Rabbit'' имеют схожие черты «на концептуальном уровне», однако сильно различаются с технологической точки зрения. Среди общих черт эксперты в частности отмечают возможность как файлового, так и дискового шифрования у обоих вредоносов.
 
{{-}}
Источник — https://ru.wikinews.org/wiki/Плохой_кролик_атакует_Россию_и_Украину,_перебираясь_в_Европу