Вирус-шифровальщик BadRabbit является модифицированной версией вируса NotPetya с исправленными ошибками в алгоритме шифрования, объясняют специалисты компании Group-IB, поясняя, что код BadRabbit включает части, полностью повторяющие NotPetya. Вредоносная программа распространялась с помощью веб-трафика со взломанных интернет-ресурсов.
Атака вируса-шифровальщика BadRabbit готовилась несколько дней, от которой пострадали Киевский метрополитен, министерство инфраструктуры Украины, одесский аэропорт, а также информационное агентство "Интерфакс" и петербургское онлайн-издание "Фонтантка". Также вирус пытался атаковать российские банки, входящие в топ-20, однако безуспешно, что, как считают в Group-IB, показывает большую защищенность банковского сектора от кибератак. По данным "Лаборатории Касперского", вирус также затронул компании в Германии и Турции. Компания зафиксировала почти 200 кибератак по всему миру с применением вируса-шифровальщика BadRabbit.
Проникновение вируса происходит через установку фальшивого обновления ПО (предположительно Flash Player) с скомпрометированных веб-сайтов, которые после взлома стали распространять вредоносное ПО под видом легитимного обновления ПО, поясняет компания "Информзащита", замечая, что наиболее уязвимой системой является операционная система семейства Windows. Злоумышленники потребовали в качестве выкупа за расшифровку файлов 0,05 биткоина (около 283 долларов).
В "Информзащите" рекомендуют обновить сигнатуры антивирусного ПО, сделать полную резервную копию критичных данных, заблокировать доступ к вредоносному сайту http://1dnscontrol.com/, проинформировать работников об угрозе заражения и предоставить перечень рекомендуемых действий. Помимо этого специалисты советуют временно заблокировать прохождение трафика между сетевыми сегментами ЛВС по портам TCP 135, 445. Данная мера позволит снизить риск распространения вредоносного ПО BadRabbit внутри сети.
Специалисты Group-IB также отмечают, что необходимо заблокировать ip-адреса и доменные имена, с которых происходило распространение вредоносных файлов; поставить пользователям блокировку всплывающих окон.
Эксперты не рекомендуют выплачивать "выкуп" злоумышленникам, так как нет гарантии восстановления данных. По их словам, первое, что необходимо сделать - отключить зараженный компьютер от локальной сети. Затем в случае отсутствия резервной копии, сделать резервную копию зашифрованного диска (в случае появления утилита-дешифратора, есть вероятность восстановить данные). При наличии резервной копии данных нужно произвести удаление вредоносного ПО средствам антивируса, либо полностью восстановить ОС из корпоративного "золотого образа", затем обновить базу данных сигнатур и выполнить полную антивирусную проверку рабочей станции.
Как отмечают в Group-IB, к защите данных нужно подходить с большей ответственностью, так как после того, как атаки шифровальщиков показали свою эффективность, хакеры будут активнее разрабатывать аналогичные инструменты, что приведет к новым взломам.
