Šiemet jau matėme du didelio masto „ransomware“ išpuolius – kalbame apie liūdnai pagarsėjusius „WannaCry“ ir „ExPetr“ (dar žinomus kaip „Petya“ ir „NotPetya“). Atrodo, kad artėja trečiasis išpuolis: nauja kenkėjiška programa vadinama „Bad Rabbit“ – bent jau tokį pavadinimą pateikia „darknet“ tinklalapis, kuris nurodomas išpirkos pastabose.
Šiuo metu žinoma, kad „Bad Rabbit“ virusas užkrėtė keletą didžiausių Rusijos žiniasklaidos priemonių, tarp jų – „Interfax“ ir „Fontanka.ru“. Odesos tarptautinis oro uostas pranešė apie kibernetinį išpuolį jų informacinėje sistemoje, nors dar nėra aišku ar šios atakos susijusios. Už „Bad Rabbit“ viruso slypintys nusikaltėliai prašo 0,05 „bitcoin“ išpirkos, o tai ,pagal dabartinį valiutos keitimo kursą, yra maždaug 280 USD.
Pagal „Kaspersky Lab“ ekspertų išvadas ataka nenaudoja eksploatavimo. Tai „varomoji“ ataka: aukos atsisiunčia netikrą „Adobe Flash“ įdiegimo programą iš užkrėstų svetainių ir rankiniu būdu paleidžia .exe failą, taip užkrėsdami savo įrenginius. Mūsų tyrėjai aptiko daugybę pavojingų tinklalapių, dauguma jų naujienų ar žiniasklaidos internetinės svetainės. Dar nėra žinoma ar galima susigrąžinti failus (sumokėjus išpirką, ar naudojant tam tikrą „ransomware“ kodo trūkumą), kuriuos užkoduoja „Bad Rabbit“ virusas. „Kaspersky Lab“ ekspertai tiria išpuolį ir mes atnaujinsime šį įrašą su jų išvadomis.
Remiantis mūsų duomenimis, dauguma atakos aukų – Rusijoje. Mes taip pat pastebėjimo panašius, bet šiek tiek mažesnius išpuolius Ukrainoje, Turkijoje ir Vokietijoje. Šis „ransomware“ virusas aukų įrenginius užkrėtė per „nulaužtas“ Rusijos žiniasklaidos svetaines. Remiantis mūsų tyrimu, tai yra tikslinė ataka prieš korporacinius tinklus, naudojant metodus, panašius į tuos, kurie buvo naudojami „ExPetr“ atakų metu. Tačiau mes negalime patvirtinti, kad šios atakos susijusios su „ExPetr“. Mes tęsime tyrimą.
„Kaspersky Lab“ saugumo produktai aptinka šiuos užkrėstus failus: UDS: DangerousObject.Multi.Generic (aptiko „Kaspersky Security Network“), PDM: Trojan.Win32.Generic (aptikto „System Watcher“) ir Trojan-Ransom.Win32.Gen.ftl.
Patarimai, kaip išvengti „Bad Rabbit“ viruso:
„Kaspersky Lab“ produktų naudotojams:
- Įsitikinkite, kad naudojate „System Watcher“ ir „Kaspersky Security Network“. Jei ne, svarbu, kad įjungtumėte šias funkcijas.
Kitiems vartotojams:
- Užblokuokite failų vykdymą iš c:windowsinfpub.dat ir c:Windowscscc.dat.
- Išjunkite WMI paslaugą (jei tai įmanoma jūsų aplinkoje), kad kenkėjai nepatektų į jūsų tinklą.
Bendri patarimai visiems:
- Visuomet turėkite atsarginę savo duomenų kopiją.
- Nemokėkite išpirkos.