Рейтинг@Mail.ru
Вирус BadRabbit проникал на компьютеры жертв через ложный Flash Player - РИА Новости, 03.03.2020
Регистрация пройдена успешно!
Пожалуйста, перейдите по ссылке из письма, отправленного на

Вирус BadRabbit проникал на компьютеры жертв через ложный Flash Player

Читать ria.ru в
Дзен

МОСКВА, 25 окт — РИА Новости. Вирус-шифровальщик BadRabbit, атаковавший информационные системы в разных странах, проникал на компьютеры жертв с помощью ложного обновления Flash Player, выяснили эксперты антивирусной компании ESET, которая исследовала схему распространения вируса.

Глобальная атака вируса. Архивное фото
Эксперты рассказали, как защититься от вируса BadRabbit

Злоумышленники, стоящие за кибератакой 24 октября, использовали скомпрометированные сайты, популярные в России и некоторых других странах, затронутых эпидемией.

"В ESET наблюдали, как на скомпрометированном сайте появляется всплывающее окно с предложением загрузить обновление для Flash Player. Нажав на кнопку "Install/Установить", пользователь инициирует загрузку исполняемого файла, который, в свою очередь, запускает в системе шифратор Win32/Filecoder.D. Далее файлы жертвы будут зашифрованы и на экране появится требование выкупа в размере 0,05 биткоина (около 17 тысяч рублей)", — говорится в сообщении. Компания отмечает, что сейчас вредоносная программа с удаленным сервером не связана.

"Заразив рабочую станцию в организации, шифратор может распространяться внутри корпоративной сети через протокол SMB. В отличие от своего предшественника Petya/NotPetya, BadRabbit не использует эксплойт EthernalBlue – вместо этого он сканирует сеть на предмет открытых сетевых ресурсов. На зараженной машине запускается инструмент Mimikatz для сбора учетных данных. Предусмотрен жестко закодированный список логинов и паролей", — отмечает ESET.

Информационные технологии. Архивное фото
BadRabbit: вирус назвали модифицированной версией NotPetya

По данным ESET, шифратор Win32/Diskcoder.D, получивший название BadRabbit, – модифицированная версия Win32/Diskcoder.C, более известного как Petya/NotPetya. В новой вредоносной программе исправлены ошибки в шифровании файлов. "Теперь шифрование осуществляется с помощью DiskCryptor – легитимного ПО с открытым исходным кодом, предназначенного для шифрования логических дисков, внешних USB-накопителей и образов CD/DVD, а также загрузочных системных разделов диска", — выяснила ESET.

Ключи генерируются с использованием CryptGenRandom и защищены жестко закодированным открытым ключом. Файлы зашифрованы с расширением.encrypted. Для распространения Diskcoder.D злоумышленники скомпрометировали популярные сайты, внедрив в них вредоносный JavaScript. Среди скомпрометированных площадок – сайты "Фонтанки", "Новой газеты в Санкт-Петербурге" и "Аргументов недели".

Как отмечает ESET, атаке шифратора Diskcoder.D подверглись российские СМИ, а также транспортные компании и государственные учреждения Украины. Статистика атак в значительной степени соответствует географическому распределению сайтов, содержащих вредоносный JavaScript.

Осенняя эпидемия
Осенняя эпидемия

 
 
 
Лента новостей
0
Сначала новыеСначала старые
loader
Онлайн
Заголовок открываемого материала
Чтобы участвовать в дискуссии,
авторизуйтесь или зарегистрируйтесь
loader
Обсуждения
Заголовок открываемого материала