Викиновости

Плохой кролик атакует Россию и Украину, перебираясь в Европу: различия между версиями

Интерактивная навигация по истории
[досмотренная версия][досмотренная версия]
← Предыдущая правкаСледующая правка →
Содержимое удалено Содержимое добавлено
ВизуальныйВики-текст
Ещё категории.
Дополнение деталями.
Строка 10:
 
При активации на компьютере пользователя зловред традиционно для подобных программ шифрует файлы и вымогает вознаграждение за восстановления доступа к ним.
Вирус требует за разблокировку одного компьютера 0,05 [[биткоин]]ов (около 16 тыс. рублей) в течении 48 часов
Однако, отличительной особенностью ''Bad Rabbit'' является возможность похищать с заражённой системы учётные данные пользователя и загружать дополнительные вредоносные модули.
 
Схема распространения вируса примитивна — пользователи, как и обычно, сами заражают свои компьютеры, переходя по ссылке из полученного письма на скомпрометированные веб-сайты и самостоятельно устанавливая вирус на своё устройство.
 
С технической стороны, по [https://blog.trendmicro.com/trendlabs-security-intelligence/bad-rabbit-ransomware-spreads-via-network-hits-ukraine-russia/ данным] экспертов из [[w:Trend Micro|Trend Micro]], ''Bad Rabbit'' распространяется посредством атаки ''[[w:en:Drive-by download|drive-by download]]'' (первоначально неточно классифицированной как ''watering hole'' — букв. «отверстие для полива»), предполагающей заражение web-сайтов, часто посещаемых потенциальными жертвами. Когда жертва попадает на заражённый сайт, ей предлагается установить поддельный ''[[w:Adobe Flash|Flash Player]]'' с именем <code>install_flash_player.exe</code> с контролируемого хакерами сайта. В настоящее время ссылка <code>hxxp://1dnscontrol.com/flash_install</code>, по которой предлагалось скачать поддельный плеер, уже неактивна.
Что жертва обычно и делает.
Далее вирус запрашивает подтверждение повышения полномочий посредством [[w:Контроль учётных записей пользователей|UAC]] [[Microsoft Windows]].
В настоящее время ссылка <code>hxxp://1dnscontrol.com/flash_install</code>, по которой предлагалось скачать поддельный плеер, уже неактивна.
 
После запуска поддельного установщика программ с помощью процесса <code>rundll32.exe</code> на атакуемую систему устанавливается шифровальщик <code>infpub.dat</code> и шифровальщик/дешифровщик <code>dispci.exe</code>.
Приложение производит шифрование файлов по алгоритмам [[w:Advanced Encryption Standard|AES-128-CBC]] и [[w:RSA|RSA-2048]]
 
В ходе атаки ''Bad Rabbit'' использует три файла. Имена двух из них являются отсылкой к [[Игра престолов (телесериал)|популярному телесериалу «Игра престолов»]], а именно имена трёх драконов — Дрогона, Рейгаля и Визериона. Файл <code>rhaegal.job</code> ответственен за выполнение файла дешифровщика, а <code>drogon.job</code> — за блокировку компьютера жертвы. Хранящиеся на системе файлы затем шифруются, а на экране появляется уведомление с требованием выкупа.
Третий файл, <code>viserion_23.job</code>, второй раз перезагружает систему, после чего доступ к ней блокируется, а на экран выводится еще одно уведомление с требованием заплатить выкуп за ключ для дешифровки.
 
Bad Rabbit инфицирует другие компьютеры в сети путём загрузки в неё своих копий и выполнения их с помощью легальных инструментов [[w:WMI|''Windows Management Instrumentation'' (WMI)]] и ''[[Service Control Manager Remote Protocol]]'' (см. [[w:Диспетчер управления службами|Диспетчер управления службами]]). При использовании ''Service Control Manager Remote Protocol'' вредонос осуществляет атаку по словарю для получения учётных данных.
 
Среди других легальных инструментов, предположительно применяемых вредоносом для получения учётных данных, эксперты называют утилиту с открытым исходным кодом ''[[Mimikatz]]'' ([https://github.com/gentilkiwi/mimikatz на github]). Исследователи также обнаружили признаки использования законного инструмента [[w:DiskCryptor|DiskCryptor]] (в нарушение лицензии [[w:GNU General Public License|GPLv3]]) для шифрования файлов на атакуемых компьютерах.
 
По данным компании ''[[w:Acronis|Acronis]]'', ''Bad Rabbit'' шифрует файлы с помощью легального драйвера ядра <code>dcrypt.sys</code>. ПО подписано сертификатами якобы от [[w:Symantec|Symantec]], благодаря чему вредоносу удается обходить [[w:Антивирусная программа|антивирусные решения]].
Строка 64 ⟶ 69 :
{{Служебная информация}}
 
{{Категории|Acronis|Adobe Flash|Advanced Encryption Standard|Bad Rabbit|Black Energy|C&C-серверы|Cisco Talos|DiskCryptor|Drive-by download|Equation Group|F-Secure|Group-IB|Microsoft|Mimikatz|NotPetya|Petya|RSA|Service Control Manager Remote Protocol|Symantec|Trend Micro|Watering hole|Windows|WMI|Агентство национальной безопасности|Азия|Антивирусные программы|Аэропорты|Банки|Банковское дело|Безопасность|Биткоины|Ботнеты}}
 
{{Категории|Вредоносное программное обеспечение|Вирусы-вымогатели|Диспетчер управления службами|Европа|Игра престолов (телесериал)|Илья Сачков|Интернет|Интернет в Евросоюзе|Интернет в России|Интернет в Украине|Интерфакс|Информационная безопасность|Киев|Киевский метрополитен|Компьютерные вирусы|Компьютерные вирусы и сетевые черви|Компьютерные технологии|Контроль учётных записей пользователей|Криминал|Криптовалюты|Логистика|Метрополитен|Мошенничество|Наука и технологии|Одесса|Одесса (аэропорт)}}
 
{{Категории|Преступность и право|Преступность|Программное обеспечение|Россия|Рунет|Сайты|СМИ|Средства массовой информации России|Технологии|Транспорт|Транспорт в Украине|Троянские программы|Украина|Фонтанка.ру|Хакерские атаки|Финансы|Финансы России|Шифрование|Центральный банк Российской Федерации|Экономика|Экономика России}}
Источник — https://ru.wikinews.org/wiki/Плохой_кролик_атакует_Россию_и_Украину,_перебираясь_в_Европу