Как защититься от вируса-шифровальщика BadRabbit

24 октября на Украине и в России произошла масштабная кибератака с использованием вируса-шифровальщика «BadRabbit», сообщает в своём блоге российская компания Group-IB, занимающаяся расследованиями компьютерных преступлений.

Вирус атаковал компьютеры и серверы Киевского метрополитена, международного аэропорта "Одесса".

Несколько жертв оказались в России — в результате атаки пострадали редакции федеральных СМИ, а также были зафиксированы факты попыток заражений банковских инфраструктур.

Совпадения в коде вирусов указывают на связь атаки с использованием «Bad Rabbit» с июньской эпидемией шифровальщика «NotPetya», поразившего энергетические, телекоммуникационные и финансовые компании.

Как происходило заражение вирусом

Заражение происходило после захода на взломанные легитимные сайты. Специалистами Group-IB установлено, что вредоносная программа распространялась с помощью веб-трафика с взломанных интернет-ресурсов, среди которых были украинские и российские сайты.

На скомпрометированные ресурсы в HTML-код атакующими был загружен JavaScript-инжект, который демонстрировал посетителям поддельное окно, предлагающее установить обновление Adobe Flash плеера.

Если он соглашался на обновление, после клика происходило скачивание и запуск вредоносного файла с именем install_flash_player.exe (FBBDC39AF1139AEBBA4DA004475E8839 - MD5 хеш), а также заражение хоста. Шифрование производится с помощью DiskCryptor.

После заражения, вредоносное ПО повышало привилегии на локальной машине. Распространение по сети происходило через SMB — путем извлечения паролей из LSASS (Mimikatz) скомпрометированного компьютера либо методом подбора по встроенному словарю.

Требования преступников

Злоумышленники требуют перевести 0,05 биткойна (по текущему курсу это около 283 долларов США). Также, на странице сайта идет отсчет времени до увеличения стоимости выкупа.

Скриншот компании Group-IB

Что делать для защиты от вируса?

Для защиты от вируса «Bad Rabbit» необходимо создать файл C:\windows\infpub.dat и поставить ему права «только для чтения». После этого даже в случае заражения файлы не будут зашифрованы.

  1. Оперативно изолируйте компьютеры, указанные в тикетах, если такие будут, а также убедитесь в актуальности и целостности резервных копий ключевых сетевых узлов.
  2. Обновите операционные системы и системы безопасности.
  3. Заблокируйте ip-адреса и доменные имена с которых происходило распространение вредоносных файлов
  4. В части парольной политики:
    • Настройками групповой политики запретите хранение паролей в LSA Dump в открытом виде.
    • Смените все пароли на сложные для предотвращения брута по словарю.
  5. Поставьте пользователям блокировку всплывающих окон.
  6. Применяйте современные средства обнаружения вторжений и песочницу для анализа файлов.
  7. Запретите выполнение следующих задач: viserion_, rhaegal, drogon

Комментарии пользователей

Добавить комментарий

Написать комментарий

 


Количество оставшихся символов -


*Все поля должны быть заполнены.
*Нажимая кнопку "Добавить комментарий" вы соглашаетесь на обработку ваших данных. Они не будут известны посторонним.