Перейти к содержанию

Bad Rabbit: новая эпидемия шифровальщика

Ig0r
 Share Подписчики 0

Рекомендуемые сообщения

Ig0r

Ig0r 1 181

Опубликовано
Опубликовано

В 2017 году уже было зафиксировано две крупнейших эпидемии шифровальщиков — мы говорим про здорово нашумевшие WannaCry и ExPetr (он же Petya и одновременно NotPetya) — а теперь, похоже, начинается третья. На этот раз шифровальщика зовут Bad Rabbit — по крайней мере такое имя написано на странице в даркнете, на которую его создатели отправляют за выяснением деталей.
badrabbit_1.gif
Пока что предположительно от этого шифровальщика пострадали несколько российских медиа — среди них Интерфакс и Фонтатка. Также о хакерской атаке — возможно, связанной с тем же Bad Rabbit, — сообщает аэропорт Одессы.
За расшифровку файлов злоумышленники требуют 0,05 биткойна, что по современному курсу примерно эквивалентно 283 долларам или 15 700 рублям.
Подробности атаки и способа распространения заразы пока не известны, как не известно и то, возможно ли расшифровать файлы. Эксперты «Лаборатории Касперского» расследуют эту атаку — мы будем обновлять этот пост по мере того, как они будут находить новую информацию.
Большинство жертв атаки находятся в России. Также мы наблюдаем похожие атаки в Украине, Турции и Германии, но в значительно меньшем количестве. Зловред распространяется через ряд заражённых сайтов российских СМИ. Все признаки указывают на то, что это целенаправленная атака на корпоративные сети. Используются методы, похожие на те, что мы наблюдали в атаке ExPetr, однако связь с ExPetr мы подтвердить не можем.
Уже известно, что продукты «Лаборатории Касперского» детектируют один из компонентов зловреда с помощью облачного сервиса Kaspersky Security Network как UDS:DangerousObject.Multi.Generic, а также с помощью System Watcher как PDM:Trojan.Win32.Generic.
 
Чтобы не стать жертвой новой эпидемии «Плохого кролика», рекомендуем сделать следующее:
Для пользователей наших защитных решений:

  • Проверьте, включены ли в вашем защитном решении компоненты Kaspersky Security Network и «Мониторинг активности» (он же System Watcher). Если нет — обязательно включите.

Для тех, кто не пользуется защитными решениями «Лаборатории Касперского»:

  • Заблокируйте исполнение файла c:\windows\infpub.dat, C:\Windows\cscc.dat.
  • Запретите (если это возможно) использование сервиса WMI.

Для всех:

  • Сделайте бэкап.
  • Не платите выкуп.

https://www.kaspersky.ru/blog/bad-rabbit-ransomware/19072/
 

Сообщение от модератора kmscom
Тема перемещена из раздела Уничтожение вирусов
  • Спасибо (+1) 5
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
Sandynist

Sandynist 1 115

Опубликовано
Опубликовано

Пока сведения противоречивые.

 

Лаборатория Касперского утверждает, что эпидемия распространяется только через взломанные сайты некоторых СМИ, Group-IB  в свою очередь зафиксировала рассылку неких вредоносных файлов в банковский сектор: https://www.kommersant.ru/doc/3448772

Ссылка на сообщение
Поделиться на другие сайты
Имя пользователя

Имя пользователя 0

Опубликовано
Опубликовано (изменено)

никто не пишет, а странно, хотя уж привыкли

оно и понятно, ничего не изменилось, все та же лабуда и защита все та же: "не скачивай чер те шо и не запускай"

Изменено пользователем Имя пользователя
Ссылка на сообщение
Поделиться на другие сайты
Денис-НН

Денис-НН 1 224

Опубликовано
Опубликовано (изменено)

А что писать? Очередное заражение шифровальщиком. Каждый день таких не одна тысяча. Кроме журналистов из этого никто не делает сенсации.

Вот например в прошлом году только сбербанк атаковали 74 раза. https://lenta.ru/news/2016/12/28/sberundersiege/

Изменено пользователем Денис-НН
Ссылка на сообщение
Поделиться на другие сайты
wumbo12

wumbo12 149

Опубликовано
Опубликовано

Лучше бы заблокировать луковой браузер или прекратить разработку Tor . Это будет правильным решением, потому что хакеры создают домены .onion -это регистрационный домен принадлежит Tor, по-этому лучше написать в петицию например AVAAZ и закрыть проект навсегда .

Ссылка на сообщение
Поделиться на другие сайты
Sapfira

Sapfira 608

Опубликовано
Опубликовано

 

 


не устанавливать обновления adobe

Обновления-то тут причем? Реальные обновления с оф.сайта Adobe безопасны, это липовые рекламные баннеры содержат вирус.

Интересно, антибаннеры блокируют их или нет?

Ссылка на сообщение
Поделиться на другие сайты
wumbo12

wumbo12 149

Опубликовано
Опубликовано

@www2.1, не думаю если открыть сайт в песочнице, что произойдёт заражение

Если использоваться Sandbox -песочница, тогда все норм . Без Sandbox -вероятно заразы будет . Пример

здесь .
Ссылка на сообщение
Поделиться на другие сайты
Имя пользователя

Имя пользователя 0

Опубликовано
Опубликовано

если exe-шники вирусные не запускать, то никаких вирусов на компе не будет с обновлением MS 17-010

 

плюс, конечно, не шлепать подозрительные примочки к браузеру, но об установке дополнения браузер предупреждает

 

т е, в общем-то, жить можно и ссылки кликать любые

 

я с Sandboxом не запариваюсь, это уже перебор

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Ans
      Ransomware .nbwr помогите!
      От Ans
      Я был бы признателен, если бы кто-нибудь мог помочь мне с ключом для этой rasomware, мне срочно нужно восстановить мои файлы, я был бы признателен за это.
    • dominiquetchamba
      файл, зашифрованный программой ramsonware "jzeq
      От dominiquetchamba
      S'il vous plaît, aidez-moi à décrypter mes fichiers.
      Merci d'avoir répondu
    • Bohdan_Feo
      I have a ransomware on my computer. This is the current format of all files: 3R9qG8i3Z
      От Bohdan_Feo
      I have a ransomware on my computer, I understand, it renamed all my data, and I don't know what to do with it. This is the current format of all files: 3R9qG8i3Z
    • monkeyd
      [РАСШИФРОВАНО] Вирус Petya
      От monkeyd
      Добрый, скачал файл с интернета, компьютер выключился и скелет красно-белый просит нажать любую кнопку 
    • Кама
      Помогите с шифровальщиком .Rabbit
      От Кама
      Зашифрованны текстовые файлы и файлы баз 1с
      Your ID: A8BDFFDCBFB04A14
      *** This notification indicates that your system has been ENCRYPTED. ***
      If you want to return your files, contact us at the email addresses below.
      Put your ID in the subject line of your email. Otherwise, we will not respond to your messages.
      Black.Rabbit@onionmai.org
      Black.Rabbit@skiff.com
      If you don't pay the ransom, the data will be published on our TOR darknet sites.
      Keep in mind that as soon as your data appears on our leaked site, it can be bought by your competitors at any moment.
      We are the only ones who have the decryption tool. Beware of any organization or individual that claims they can decrypt your data without paying us.
      They just trick you and get more money from you as a result.
      All of them contact us and buy the decryption tool from us.
      What is the guarantee that we will not cheat you?
      Send us a small encrypted file to the listed emails.
      2 files we unlock for free (under 5MB that do not include sensitive information) To confirm our honest intentions.
      We will decrypt these files and send them back to you as evidence.
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Интервью с экспертами «Лаборатории Касперского»"
×
×
  • Создать...