Новый вирус-шифровальщик Bad Rabbit ("Плохой кролик") во вторник атаковал сайты ряда российских СМИ. В частности, атакам подверглись информационные системы агентства "Интерфакс", а также сервер петербургского новостного портала "Фонтанка". После полудня Bad Rabbit начал распространяться на Украине — вирус поразил компьютерные сети Киевского метрополитена, министерства инфраструктуры, международного аэропорта Одессы. Похожие атаки наблюдаютсяв Турции и Германии, хотя и в значительно меньшем количестве.ТАСС объясняет, что это за вирус, как от него уберечься и кто может за ним стоять.

Купить авиабилет

Вредоносная программа заражает компьютер, шифруя на нем файлы. Для получения доступа к ним вирус предлагает совершить платеж на указанном сайте в даркнете (для этого потребуется браузер Tor). За разблокировку каждого компьютера хакеры требуют заплатить 0,05 биткойна, то есть примерно 16 тыс. рублей или USD 280. На выкуп отводится 48 часов — после истечения этого срока сумма увеличивается.

Поданнымлаборатории компьютерной криминалистики компании Group-IB, вирус-шифровальщик пытался атаковать не только российские СМИ, но и российские банки из топ-20, однако ему это не удалось.

Поданнымвирусной лаборатории ESET, в атаке использовалось вредоносное программное обеспечение Diskcoder.D — новая модификация шифратора, известного как Petya. Предыдущая версия Diskcoder была задействована вкибератакев июне 2017 года. В Group-IBсчитают, что вирус Bad Rabbit мог написать автор NotPetya (это обновленная версия "Пети"2016 года) или его последователь.

"Раздача вредоносного ПО проводилась с ресурса 1dnscontrol.com. Он имеет IP 5.61.37.209, с этим доменным именем и IP-адресом связаны следующие ресурсы: webcheck01.net, webdefense1.net, secure-check.host, firewebmail.com, secureinbox.email, secure-dns1.net", —рассказалиТАСС в Group-IB. В компании отметили, что на владельцев этих сайтов зарегистрировано множество ресурсов, например, так называемые фарм-партнерки— сайты, которые через спам продают контрафактные медикаменты. "Не исключено, что они использовались для рассылки спама, фишинга", — добавили в компании.

Пользователи самостоятельно одобряли установку этого обновленияи таким образом заражали свой компьютер. "Никаких уязвимостей вообще не было, пользователи сами запускали файл", —подчеркнулзамглавы лаборатории компьютерной криминалистики Group-IB Сергей Никитин. Попав в локальную сеть, Bad Rabbit крадет из памяти логины и пароли и может самостоятельно устанавливаться на другие компьютеры.

Купить авиабилет

Чтобы защититься от заражения Bad Rabbit, компаниям достаточно заблокировать указанные домены для пользователей корпоративной сети. Домашним пользователям следует обновить Windows и антивирусный продукт — тогда этот файл будет детектироваться как вредоносный.

Пользователи встроенного антивируса операционной системы Windows — Windows Defender Antivirus — ужезащищеныот Bad Rabbit. "Мы продолжаем расследование, и при необходимости мы примем дополнительные меры по защите наших пользователей", —рассказалаТАСС пресс-секретарь корпорации Microsoft в России Кристина Давыдова.

"Лаборатория Касперского"также подготовиларекомендациидля того, чтобы не стать жертвами новой эпидемии. Производитель антивирусов посоветовалвсем сделать бэкап (резервное копирование). Кроме того, компания рекомендовала заблокировать исполнение файла c:\windows\infpub.dat, C:\Windows\cscc.dat, а также, если возможно, запретить использование сервиса WMI.

"При всем уважении к большим СМИ,это не критический объект инфраструктуры", —сказалглава Минкомсвязи Николай Никифоров, добавив, что какую-то определенную цель хакеры вряд ли преследовали. По его мнению, такие атаки, в частности, связаны с нарушением мер безопасности при подключении к "открытому интернету". "Скорее всего, эта информационная система ("Интерфакса"— прим. ТАСС) не сертифицирована", — предположил министр.

"Сейчас можно говорить о прекращении активного распространения вируса, третья эпидемия практически завершилась. Даже домен, через который распространялся Bad Rabbit, уже не отвечает", —сообщилив Group-IB. По словам Сергея Никитина, возможны единичные случаи заражения вирусом, в частностив корпоративных сетях, где уже были украдены логины и пароли, и вирус может установиться сам, без участия пользователя. Однако уже можно говорить о завершении основной волны третьей эпидемии вируса-шифровальщика в 2017 году.

Напомним, что в мае компьютеры по всему миру атаковал вирусWannaCry. На зараженных компьютерах блокировалась информация, а за разблокировку данных злоумышленники требовали USD 600 в биткойнах. В июне другой вирус под названием Petya атаковал нефтяные, телекоммуникационные и финансовые компании России, Украины и некоторые страны ЕС. Принцип его действия был таким же:вирус шифровал информацию и требовал выкуп в размере USD 300 в биткойнах.