Bad Rabbit virus. Bad Rabbit: toinen lunnasohjelmavirus. Miten ei saa tartuntaa? Kuinka Bad Rabbit -virustartunta ilmenee?

Kolmas laajamittainen kyberhyökkäys vuoden sisään. Tällä kertaa viruksella on uusi nimi, Bad Rabbit, ja vanhat tavat: tietojen salaus ja rahan kiristys lukituksen avaamiseksi. Ja Venäjä, Ukraina ja jotkin muut IVY-maat ovat edelleen vaikutusalueella.

Bad Rabbit noudattaa tavallista kaavaa: se lähettää phishing-sähköpostin, johon on liitetty virus tai linkki. Hyökkääjät voivat esiintyä Microsoftin teknisenä tukena ja pyytää sinua avaamaan pikaisesti liitetiedoston tai seuraamaan linkkiä. On toinen jakelureitti - väärennetty Adobe Flash Player -päivitysikkuna. Molemmissa tapauksissa Bad Rabbit toimii samalla tavalla kuin sensaatiomainen ei niin kauan sitten, se salaa uhrin tiedot ja vaatii 0,05 bitcoinin lunnaita, joka on noin 280 dollaria 25. lokakuuta 2017 laskettuna. Uuden epidemian uhreja olivat Interfax, pietarilainen Fontanka-lehti, Kiovan Metropolitan, Odessan lentokenttä ja Ukrainan kulttuuriministeriö. On todisteita siitä, että uusi virus yritti hyökätä useisiin tunnettuihin venäläisiin pankkeihin, mutta tämä idea epäonnistui. Asiantuntijat yhdistävät Bad Rabbitin aikaisempiin tänä vuonna kirjattuihin suuriin hyökkäyksiin. Todiste tästä on samanlainen salausohjelmisto Diskcoder.D, ja tämä on sama Petya-salaus, vain hieman muokattuna.

Kuinka suojautua Bad Rabbitilta?

Asiantuntijat suosittelevat, että Windows-tietokoneiden omistajat luovat "infpub.dat"-tiedoston ja sijoittavat sen "C"-aseman Windows-kansioon. Tämän seurauksena polun pitäisi näyttää tältä: C:\windows\infpub.dat. Tämä voidaan tehdä tavallisella muistikirjalla, mutta järjestelmänvalvojan oikeuksilla. Voit tehdä tämän etsimällä linkin Notepad-ohjelmaan, napsauttamalla hiiren kakkospainikkeella ja valitsemalla "Suorita järjestelmänvalvojana".

Sitten sinun tarvitsee vain tallentaa tämä tiedosto osoitteeseen C:\windows\, eli Windows-kansioon asemassa "C". Tiedoston nimi: infpub.dat, jossa "dat" on tiedostopääte. Älä unohda korvata muistikirjan vakiolaajennus "txt" sanalla "dat". Kun olet tallentanut tiedoston, avaa Windows-kansio, etsi luotu infpub.dat-tiedosto, napsauta sitä hiiren kakkospainikkeella ja valitse "Ominaisuudet", jossa aivan alareunassa sinun on valittava "Vain luku" -valintaruutu. Tällä tavalla, vaikka saisit Bad Bunny -viruksen, se ei pysty salaamaan tietojasi.

Ennaltaehkäisevät toimenpiteet

Älä unohda, että voit suojautua kaikilta viruksilta yksinkertaisesti noudattamalla tiettyjä sääntöjä. Se saattaa kuulostaa triviaalilta, mutta älä koskaan avaa sähköposteja, saati niiden liitteitä, jos osoite vaikuttaa sinusta epäilyttävältä. Tietojenkalasteluviestit eli muiksi palveluiksi naamioituminen ovat yleisin tartuntatapa. Ole varovainen mitä avaat. Jos sähköpostissa liitetiedoston nimi on "Tärkeä dokumentti.docx_______.exe", sinun ei ehdottomasti pidä avata tätä tiedostoa. Lisäksi sinulla on oltava varmuuskopiot tärkeistä tiedostoista. Esimerkiksi perhearkisto, jossa on valokuvia tai työasiakirjoja, voidaan kopioida ulkoiselle asemalle tai pilvitallennustilaan. Älä unohda, kuinka tärkeää on käyttää lisensoitua Windows-versiota ja asentaa päivityksiä säännöllisesti. Microsoft julkaisee suojauskorjauksia säännöllisesti, ja niiden asentajilla ei ole ongelmia tällaisten virusten kanssa.

Venäläisten tiedotusvälineiden edellisenä päivänä hyökännyt Bad Rabbit ransomware -virus yritti myös hyökätä venäläisiä pankkeja 20 parhaan joukosta, kyberrikoksia tutkiva ja ehkäisevä Group-IB kertoi Forbesille. Yrityksen edustaja kieltäytyi selventämästä yksityiskohtia luottolaitoksiin kohdistuvista hyökkäyksistä, koska Group-IB ei luovuta tietoja asiakkaistaan ​​tunkeutumisen havainnointijärjestelmällään.

Kmukaan venäläisten pankkien infrastruktuureja yritettiin tartuttaa viruksella 24. lokakuuta klo 13.00-15.00 Moskovan aikaa. Group-IB uskoo, että kyberhyökkäykset osoittivat parempaa suojaa pankeille verrattuna ei-pankkisektorin yrityksiin. Aiemmin yhtiö raportoi, että uusi kiristysohjelmavirus, joka todennäköisesti liittyy kesäkuun NotPetya ransomware -epidemiaan (tämän osoittavat koodin yhteensattumat), hyökkäsi Venäjän mediaa vastaan. Puhuimme Interfax-toimiston tietojärjestelmistä sekä Pietarin uutisportaalin Fontankan palvelimista. Lisäksi virus iski Kiovan metron, Ukrainan infrastruktuuriministeriön ja Odessan kansainvälisen lentokentän järjestelmiin. NotPetya osui kesän aikana energia-, televiestintä- ja rahoitusyhtiöihin ensisijaisesti Ukrainassa. BadRabbit-viruksella tartunnan saaneiden tiedostojen salauksen purkamisesta hyökkääjät vaativat 0,05 bitcoinia, joka nykyisellä valuuttakurssilla vastaa noin 283 dollaria tai 15 700 ruplaa.

Kaspersky Lab selvensi, että tällä kertaa hakkerit valitsivat suurimman osan uhreista Venäjältä. Yhtiö kuitenkin kirjasi samanlaisia ​​hyökkäyksiä Ukrainassa, Turkissa ja Saksassa, mutta "huomattavasti pienemmissä määrin". ”Kaikki merkit viittaavat siihen, että kyseessä on kohdennettu hyökkäys yritysverkkoja vastaan. Käytössä on samankaltaisia ​​menetelmiä kuin ExPetr-hyökkäyksessä havaitsimme, mutta yhteyttä ExPetriin emme voi vahvistaa", yhtiön edustaja sanoi. Forbesin lähde lisäsi, että kaikki Kaspersky Labin tuotteet "tunnistavat nämä haitalliset tiedostot nimellä UDS:DangerousObject.Multi.Generic".

Kuinka suojella itseäsi?

Suojautuakseen tältä hyökkäykseltä Kaspersky Lab suositteli virustorjuntaohjelman käyttöä, jossa KSN on käytössä, ja järjestelmän valvontamoduulia. "Jos Kaspersky Labin tietoturvaratkaisua ei ole asennettu, suosittelemme c:\windows\infpub.dat- ja C:\Windows\cscc.dat-tiedostojen suorittamisen estämistä järjestelmänhallintatyökaluilla", neuvoi virustorjunnan johtaja. tutkimusosasto laboratoriossa Kaspersky" Vjatšeslav Zakorževski.

Group-IB huomauttaa, että estääksesi virusta salaamasta tiedostoja, "sinun on luotava tiedosto C:\windows\infpub.dat ja annettava sille vain lukuoikeudet". Tämän jälkeen, vaikka ne olisivat saaneet, niitä ei salata, yhtiö sanoi. Samalla on tarpeen eristää nopeasti tietokoneet, jotka on havaittu lähettävät tällaisia ​​haitallisia tiedostoja, jotta vältetään muiden verkkoon kytkettyjen tietokoneiden laajamittaiset tartunnat. Tämän jälkeen käyttäjien on varmistettava, että avainverkkosolmujen varmuuskopiot ovat ajan tasalla ja ehjiä.

Kun ensimmäiset vaiheet on suoritettu, käyttäjää kehotetaan päivittämään käyttöjärjestelmät ja turvajärjestelmät samalla kun estetään IP-osoitteet ja verkkotunnukset, joista haitallisia tiedostoja jaettiin. Group-IB suosittelee kaikkien salasanojen vaihtamista monimutkaisempiin ja ponnahdusikkunoiden estämistä sekä salasanojen tallentamisen kieltämistä selkeänä tekstinä LSA Dumpiin.

Kuka on BadRabbit-hyökkäyksen takana

Vuonna 2017 kirjattiin jo kaksi suurta lunnasohjelmaepidemiaa - WannaCry (hyökkäsi 200 000 tietokoneeseen 150 maassa) ja ExPetr. Jälkimmäinen on Petya ja samalla NotPetya, Kaspersky Lab huomauttaa. Nyt yrityksen mukaan "kolmas on alkamassa". Uuden Bad Rabbit ransomware -viruksen nimi "on kirjoitettu darknetissä olevalle sivulle, jolle sen tekijät lähettävät yksityiskohtien selventämistä", yhtiö selventää. Group-IB uskoo, että Bad Rabbit on modifioitu versio NotPetyasta, jonka salausalgoritmin virheet on korjattu. Erityisesti Bad Rabbit -koodi sisältää lohkoja, jotka ovat täysin identtisiä NotPetyan kanssa.

ESET Russia hyväksyy, että hyökkäyksessä käytetty haittaohjelma "Win32/Diskcoder.D" on modifioitu versio "Win32/Diskcoder.C:stä", joka tunnetaan paremmin nimellä Petya/NotPetya. Kuten ESET Venäjän myyntituen johtaja Vitaly Zemskikh selitti keskustelussa Forbesin kanssa, hyökkäystilastot maittain "vastaavat suurelta osin haitallista JavaScriptiä sisältävien sivustojen maantieteellistä jakautumista". Näin ollen suurin osa tartunnoista tapahtui Venäjällä (65 %), jota seurasivat Ukraina (12,2 %), Bulgaria (10,2 %), Turkki (6,4 %) ja Japani (3,8 %).

Bad Rabbit -virustartunta tapahtui hakkeroiduilla sivustoilla käynnin jälkeen. Hakkerit latasivat vaarantuneet resurssit JavaScript-injektiolla HTML-koodiin, mikä osoitti vierailijoille väärennetyn ikkunan, joka kehotti heitä asentamaan Adobe Flash Player -päivityksen. Jos käyttäjä suostui päivitykseen, tietokoneeseen asennettiin haitallinen tiedosto nimeltä "install_flash_player.exe". ”Saatuneena työaseman organisaatiossa salaaja voi levitä yritysverkossa SMB-protokollan kautta. Toisin kuin edeltäjänsä Petya/NotPetya, Bad Rabbit ei käytä EthernalBlue-hyötyä - sen sijaan se etsii verkosta avoimia verkkoresursseja”, Zemskikh sanoo. Seuraavaksi Mimikatz-työkalu käynnistetään tartunnan saaneessa koneessa valtuustietojen keräämiseksi. Lisäksi siellä on kovakoodattu luettelo kirjautumisista ja salasanoista.

Hakkerihyökkäyksen järjestäjistä ei ole vielä tietoa. Samaan aikaan, Group-IB:n mukaan samanlaiset joukkohyökkäykset WannaCry ja NotPetya voivat liittyä osavaltioiden rahoittamiin hakkeriryhmiin. Asiantuntijat tekevät tämän johtopäätöksen sillä perusteella, että tällaisten hyökkäysten taloudelliset hyödyt ovat "vähän vähäisiä" verrattuna niiden toteuttamisen monimutkaisuuteen. "Todennäköisesti nämä eivät olleet yrityksiä tehdä rahaa, vaan testata yritysten, valtion virastojen ja yksityisten yritysten kriittisten infrastruktuuriverkkojen suojaustasoa", asiantuntijat päättävät. Group-IB:n edustaja vahvisti Forbesille, että uusin virus - Bad Rabbit - saattaa osoittautua ministeriöiden ja yritysten infrastruktuurien suojaamisen kokeeksi. "Kyllä, se ei ole poissuljettu. Ottaen huomioon, että hyökkäykset tehtiin kohdistetusti - kriittisiin infrastruktuurikohteisiin - lentokentälle, metroon, valtion virastoille”, Forbesin keskustelukumppani selittää.

Vastatessaan kysymykseen viimeisimmän hyökkäyksen vastuuhenkilöistä ESET Venäjä korostaa, että vain virustorjuntayrityksen työkaluja käyttämällä on mahdotonta suorittaa laadukasta tutkimusta ja tunnistaa asianosaiset, tämä on eri profiilin asiantuntijoiden tehtävä. ”Virustorjuntayrityksenä tunnistamme hyökkäysmenetelmät ja -kohteet, hyökkääjien haitalliset työkalut, haavoittuvuudet ja hyväksikäytöt. Syyllisten löytäminen, heidän motiivinsa, kansallisuus jne. ei ole meidän vastuullamme, yrityksen edustaja sanoi ja lupasi tehdä johtopäätökset Bad Rabbitin nimittämisestä tutkinnan tulosten perusteella. "Valitettavasti näemme lähitulevaisuudessa monia vastaavia tapauksia - tämän hyökkäyksen vektori ja skenaario ovat osoittaneet suurta tehokkuutta", ESET Russia ennustaa. Forbesin keskustelukumppani muistelee, että vuodelle 2017 yhtiö ennusti yrityssektoriin kohdistuneiden hyökkäysten määrän lisääntyvän, ensisijaisesti rahoitusorganisaatioita vastaan ​​(yli 50 % alustavien arvioiden mukaan). "Nämä ennusteet ovat nyt käymässä toteen, näemme hyökkäysten määrän lisääntyvän ja vahinkoa kärsineille yrityksille aiheutuvien vahinkojen lisääntymisen", hän myöntää.

Se saattaa olla salausvirusten kolmannen aallon ennakkoedustaja, Kaspersky Lab uskoo. Kaksi ensimmäistä olivat sensaatiomainen WannaCry ja Petya (alias NotPetya). Kyberturvallisuusasiantuntijat kertoivat MIR 24:lle uuden verkkohaittaohjelman syntymisestä ja kuinka suojautua sen voimakkaalta hyökkäykseltä.

Suurin osa Bad Rabbit -hyökkäyksen uhreista on Venäjällä. Niitä on huomattavasti vähemmän Ukrainassa, Turkissa ja Saksassa, totesi Kaspersky Labin virustorjuntatutkimusosaston johtaja. Vjatšeslav Zakorževski. Toiseksi aktiivisimmat maat olivat luultavasti maat, joissa käyttäjät seuraavat aktiivisesti Venäjän Internet-resursseja.

Kun haittaohjelma saastuttaa tietokoneen, se salaa siinä olevat tiedostot. Sitä levitetään käyttämällä verkkoliikennettä hakkeroiduista Internet-resursseista, joiden joukossa olivat pääasiassa Venäjän liittovaltion median sivustot sekä Kiovan metron, Ukrainan infrastruktuuriministeriön ja Odessan kansainvälisen lentokentän tietokoneet ja palvelimet. Myös epäonnistunut yritys hyökätä Venäjän pankkeihin 20 parhaan joukosta kirjattiin.

Tietoturvaan erikoistunut Group-IB raportoi eilen, että Fontanka, Interfax ja monet muut julkaisut joutuivat Bad Rabbitin hyökkäyksen kohteeksi. Viruskoodin analyysi osoitti sen Bad Rabbit liittyy Not Petya lunnasohjelmaan, joka kesäkuussa tänä vuonna hyökkäsi energia-, televiestintä- ja rahoitusyhtiöitä vastaan ​​Ukrainassa.

Hyökkäykseen valmisteltiin useita päiviä ja tartunnan laajuudesta huolimatta lunnasohjelma vaati hyökkäyksen uhreilta suhteellisen pieniä summia - 0,05 bitcoinia (eli noin 283 dollaria tai 15 700 ruplaa). Lunastukseen on varattu 48 tuntia. Tämän ajanjakson päätyttyä määrä kasvaa.

Group-IB-asiantuntijat uskovat, että todennäköisesti hakkereilla ei ole aikomusta ansaita rahaa. Niiden todennäköinen tavoite on tarkistaa yritysten, ministeriöiden ja yksityisten yritysten kriittisten infrastruktuuriverkkojen suojaustaso.

On helppoa joutua hyökkäyksen uhriksi

Kun käyttäjä vierailee tartunnan saaneella sivustolla, haitallinen koodi välittää tietoa siitä etäpalvelimelle. Seuraavaksi näkyviin tulee ponnahdusikkuna, jossa sinua pyydetään lataamaan Flash Playerin päivitys, joka on väärennös. Jos käyttäjä hyväksyy "Install"-toiminnon, tiedosto ladataan tietokoneelle, joka puolestaan ​​käynnistää Win32/Filecoder.D-salauksen järjestelmässä. Seuraavaksi pääsy asiakirjoihin estetään ja näytölle tulee lunnaita koskeva viesti.

Bad Rabbit -virus etsii verkosta avoimia verkkoresursseja, minkä jälkeen se käyttää tartunnan saaneessa koneessa työkalua valtuustietojen keräämiseksi ja tämä "käyttäytyminen" eroaa edeltäjistään.

Kansainvälisen virustorjuntaohjelmistokehittäjä Eset NOD 32:n asiantuntijat vahvistivat, että Bad Rabbit on uusi muunnos Petya-viruksesta, jonka toimintaperiaate oli sama - virus salasi tiedot ja vaati lunnaita bitcoineina (summa oli vertailukelpoinen Bad Rabbitille - 300 dollaria). Uusi haittaohjelma korjaa tiedostojen salausvirheet. Viruksen käyttämä koodi on suunniteltu salaamaan loogisia asemia, ulkoisia USB-asemia ja CD/DVD-otoksia sekä käynnistettävät järjestelmälevyosiot.

ESET Venäjän myyntituen johtaja Bad Rabbit hyökkäsi yleisöstä Vitali Zemskikh totesi, että 65 % yhtiön virustorjuntatuotteiden pysäyttämistä hyökkäyksistä tapahtui Venäjällä. Muu uuden viruksen maantiede näyttää tältä:

Ukraina – 12,2 %

Bulgaria – 10,2 %

Turkkiye – 6,4 %

Japani – 3,8 %

muut – 2,4 %

"Lunnasohjelma käyttää tunnettua avoimen lähdekoodin ohjelmistoa nimeltä DiskCryptor salatakseen uhrin asemat. Käyttäjän näkemä lukitusviestinäyttö on lähes identtinen Petya- ja NotPetya-lukitusnäytön kanssa. Tämä on kuitenkin ainoa samankaltaisuus, jonka olemme toistaiseksi nähneet näiden kahden haittaohjelman välillä. Kaikilta muilta osin BadRabbit on täysin uusi ja ainutlaatuinen ransomware-tyyppi, sanoo Check Point Software Technologiesin tekninen johtaja. Nikita Durov.

Kuinka suojautua Bad Rabbitilta?

Muiden käyttöjärjestelmien kuin Windowsin omistajat voivat huokaista helpotuksesta, sillä uusi lunnasohjelmavirus tekee vain tällä "akselilla" varustetut tietokoneet haavoittuvia.

Suojautuaksesi verkon haittaohjelmilta asiantuntijat suosittelevat luomaan tietokoneellesi tiedoston C:\windows\infpub.dat ja asettamaan sille vain luku -oikeudet - tämä on helppo tehdä hallintaosiossa. Näin estät tiedostojen suorittamisen ja kaikkia ulkopuolelta saapuvia asiakirjoja ei salata, vaikka ne olisivatkin saastuneita. Vältä arvokkaiden tietojen menettäminen virustartunnan sattuessa tekemällä varmuuskopio nyt. Ja tietysti kannattaa muistaa, että lunnaiden maksaminen on ansa, joka ei takaa, että tietokoneesi lukitus avataan.

Muistutetaan, että virus levisi tämän vuoden toukokuussa ainakin 150 maassa ympäri maailmaa. Hän salasi tiedot ja vaati lunnaiden maksamista eri lähteiden mukaan 300–600 dollaria. Se vaikutti yli 200 000 käyttäjään. Erään version mukaan sen tekijät ottivat perustana US NSA Eternal Blue -haittaohjelman.

Alla Smirnova puhui asiantuntijoiden kanssa

Kiristysohjelmavirus, joka tunnetaan nimellä Bad Rabbit, hyökkäsi kymmeniin tuhansiin tietokoneisiin Ukrainassa, Turkissa ja Saksassa. Mutta suurin osa hyökkäyksistä tapahtui Venäjällä. Mikä virus tämä on ja kuinka suojata tietokoneesi, kerromme Kysymykset ja vastaukset -osiossa.

Kuka kärsi Bad Rabbitista Venäjällä?

Bad Rabbit ransomware -virus alkoi levitä 24. lokakuuta. Hänen tekojensa uhrien joukossa ovat uutistoimisto Interfax ja Fontanka.ru-julkaisu.

Myös Kiovan metro ja Odessan lentokenttä kärsivät hakkereiden toimista. Sitten tuli tunnetuksi yrityksestä hakkeroida useiden venäläisten pankkien järjestelmiä 20 parhaan joukosta.

Kaikin puolin tämä on kohdennettu hyökkäys yritysverkkoja vastaan, koska se käyttää samanlaisia ​​menetelmiä kuin ExPetr-virushyökkäyksessä havaittiin.

Uusi virus asettaa kaikille yhden vaatimuksen: 0,05 Bitcoinin lunnaat. Ruplina tämä on noin 16 tuhatta ruplaa. Hän kuitenkin ilmoittaa, että tämän vaatimuksen täyttämiseen on vain vähän aikaa. Kaikelle annetaan hieman yli 40 tuntia. Lisäksi lunastusmaksu nousee.

Mikä tämä virus on ja miten se toimii?

Oletko jo saanut selville kuka sen leviämisen takana on?

Vielä ei ole voitu selvittää, kuka on tämän hyökkäyksen takana. Tutkimus johti ohjelmoijat vain verkkotunnuksen nimeen.

Virustorjuntayritysten asiantuntijat huomauttavat uuden viruksen samankaltaisuuden Petya-viruksen kanssa.

Mutta toisin kuin aiemmat virukset tänä vuonna, tällä kertaa hakkerit päättivät valita yksinkertaisen reitin, raportoi 1tv.ru.

"Ilmeisesti rikolliset odottivat, että useimmissa yrityksissä käyttäjät päivittävät tietokoneitaan näiden kahden hyökkäyksen jälkeen, ja päättivät kokeilla melko halpaa keinoa - sosiaalista manipulointia - tartuttaakseen käyttäjiä aluksi suhteellisen hiljaa", sanoi anti-päällikkö. Kaspersky Labin virustutkimusosasto Vjatšeslav Zakorževski

Kuinka suojata tietokoneesi viruksilta?

Muista varmuuskopioida järjestelmäsi. Jos käytät suojaukseen Kaspersky-, ESET-, Dr.Web- tai muita suosittuja analogeja, sinun tulee päivittää tietokannat viipymättä. Lisäksi Kasperskylle on otettava käyttöön "Activity Monitoring" (System Watcher), ja ESETissä sinun on käytettävä allekirjoituksia päivityksellä 16295, kertoo talkdevice.

Jos sinulla ei ole virustentorjuntaohjelmia, estä tiedostojen C:\Windows\infpub.dat ja C:\Windows\cscc.dat suorittaminen. Tämä tehdään ryhmäkäytäntöeditorin tai Windowsin AppLocker-ohjelman kautta.

Pysäytä palvelu - Windows Management Instrumentation (WMI). Käytä oikeaa painiketta, syötä palvelun ominaisuudet ja valitse "Käynnistystyyppi" -tila "Disabled".

Ransomware virus Bad Rabbit tai Diskcoder.D. hyökkää suurten ja keskisuurten organisaatioiden yritysverkkoihin ja estää kaikki verkot.

Bad Rabbitia tai "pahaa kania" tuskin voi kutsua pioneeriksi - sitä edelsi Petya- ja WannaCry-salausvirukset.

Bad Rabbit - millainen virus

Virustorjuntayrityksen ESETin asiantuntijat tutkivat uuden viruksen leviämistä ja havaitsivat, että Bad Rabbit tunkeutui uhrien tietokoneisiin Adobe Flash -selainpäivityksen varjolla.

Virustorjuntayhtiö uskoo, että Win32/Diskcoder.D-salaaja, nimeltään Bad Rabbit, on modifioitu versio Win32/Diskcoder.C:stä, joka tunnetaan paremmin nimellä Petya/NotPetya, joka osui organisaatioiden IT-järjestelmiin useissa maissa kesäkuussa. Bad Rabbitin ja NotPetyan välinen yhteys osoitetaan koodissa olevilla osumilla.

Hyökkäys käyttää Mimikatz-ohjelmaa, joka sieppaa tartunnan saaneen koneen kirjautumistunnukset ja salasanat. Myös koodissa on jo rekisteröityjä käyttäjätunnuksia ja salasanoja yrityksiin päästä järjestelmänvalvojaan.

Uusi haittaohjelma korjaa tiedostojen salausvirheet – viruksen käyttämä koodi on suunniteltu salaamaan loogisia asemia, ulkoisia USB-asemia ja CD/DVD-otoksia sekä käynnistettävät järjestelmälevyosiot. Asiantuntijoiden mukaan salauksenpurkuasiantuntijoiden on siis käytettävä paljon aikaa Bad Rabbit -viruksen salaisuuden paljastamiseen.

Asiantuntijoiden mukaan uusi virus toimii salausjärjestelmän vakiojärjestelmän mukaisesti - järjestelmään tullessaan tyhjästä se koodaa tiedostoja, joiden salauksesta hakkerit vaativat lunnaita bitcoineina.

Yhden tietokoneen lukituksen avaaminen maksaa 0,05 bitcoinia, mikä on noin 283 dollaria nykyisellä valuuttakurssilla. Jos lunnaat maksetaan, huijarit lähettävät erityisen avainkoodin, jonka avulla voit palauttaa järjestelmän normaalin toiminnan etkä menetä kaikkea.

Jos käyttäjä ei siirrä varoja 48 tunnin kuluessa, lunnaiden määrä kasvaa.

Mutta on syytä muistaa, että lunnaiden maksaminen voi olla ansa, joka ei takaa tietokoneen lukituksen avaamista.

ESET huomauttaa, että haittaohjelman ja etäpalvelimen välillä ei tällä hetkellä ole yhteyttä.

Virus vaikutti eniten venäläisiin käyttäjiin ja vähemmässä määrin yrityksiin Saksassa, Turkissa ja Ukrainassa. Levitys tapahtui tartunnan saaneiden välineiden kautta. Tunnetut tartunnan saaneet sivustot on jo estetty.

ESET uskoo, että hyökkäystilastot vastaavat suurelta osin haitallista JavaScriptiä sisältävien sivustojen maantieteellistä jakautumista.

Kuinka suojella itseäsi

Tietoverkkorikollisuuden ehkäisyyn ja tutkimiseen osallistuvan Group-IB:n asiantuntijat antoivat suosituksia, kuinka suojautua Bad Rabbit -virukselta.

Erityisesti suojautuaksesi online-tuholaisilta sinun on luotava tietokoneellesi tiedosto C:\windows\infpub.dat ja asetettava sille vain lukuoikeudet hallintaosiossa.

Tämä toiminto estää tiedostojen suorittamisen, ja kaikkia ulkopuolelta saapuvia asiakirjoja ei salata, vaikka ne olisivatkin saastuneita. Kaikista arvokkaista tiedoista on luotava varmuuskopio, jotta et menetä niitä tartunnan sattuessa.

Group-IB:n asiantuntijat neuvovat myös estämään IP-osoitteet ja verkkotunnukset, joista haitallisia tiedostoja jaettiin, sekä estämään käyttäjille ponnahdusikkunat.

On myös suositeltavaa eristää tietokoneet nopeasti tunkeutumisen havaitsemisjärjestelmään. PC-käyttäjien tulee myös varmistaa, että tärkeimpien verkkosolmujen varmuuskopiot ovat ajan tasalla ja ehjät ja että käyttöjärjestelmät ja suojausjärjestelmät päivitetään.

"Salasanakäytännön suhteen: käytä ryhmäkäytäntöasetuksia estääksesi salasanojen tallentamisen LSA Dumpiin tekstimuodossa. Muuta kaikki salasanat monimutkaisiksi", yhtiö lisäsi.

Edeltäjät

WannaCry-virus levisi ainakin 150 maassa toukokuussa 2017. Hän salasi tiedot ja vaati lunnaiden maksamista eri lähteiden mukaan 300–600 dollaria.

Se vaikutti yli 200 000 käyttäjään. Erään version mukaan sen tekijät ottivat perustana US NSA Eternal Blue -haittaohjelman.

Petya ransomware -viruksen maailmanlaajuinen hyökkäys 27. kesäkuuta osui yritysten IT-järjestelmiin useissa maissa eri puolilla maailmaa, enimmäkseen Ukrainaa.

Öljy-, energia-, televiestintä-, lääkeyhtiöiden sekä valtion virastojen tietokoneisiin hyökättiin. Ukrainan kyberpoliisi ilmoitti, että lunnasohjelmahyökkäys tapahtui M.E.doc-ohjelman kautta.

Materiaali on laadittu avoimiin lähteisiin perustuen

Lisää tästä aiheesta:

Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen
Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy
Etsitään vastaavaa kuvaa Internetistä Etsitään vastaavaa kuvaa Internetistä