Bad Rabbit: новая эпидемия шифровальщика

[Ig0r]

В 2017 году уже было зафиксировано две крупнейших эпидемии шифровальщиков — мы говорим про здорово нашумевшие WannaCry и ExPetr (он же Petya и одновременно NotPetya) — а теперь, похоже, начинается третья. На этот раз шифровальщика зовут Bad Rabbit — по крайней мере такое имя написано на странице в даркнете, на которую его создатели отправляют за выяснением деталей.

Пока что предположительно от этого шифровальщика пострадали несколько российских медиа — среди них Интерфакс и Фонтатка. Также о хакерской атаке — возможно, связанной с тем же Bad Rabbit, — сообщает аэропорт Одессы.
За расшифровку файлов злоумышленники требуют 0,05 биткойна, что по современному курсу примерно эквивалентно 283 долларам или 15 700 рублям.
Подробности атаки и способа распространения заразы пока не известны, как не известно и то, возможно ли расшифровать файлы. Эксперты «Лаборатории Касперского» расследуют эту атаку — мы будем обновлять этот пост по мере того, как они будут находить новую информацию.
Большинство жертв атаки находятся в России. Также мы наблюдаем похожие атаки в Украине, Турции и Германии, но в значительно меньшем количестве. Зловред распространяется через ряд заражённых сайтов российских СМИ. Все признаки указывают на то, что это целенаправленная атака на корпоративные сети. Используются методы, похожие на те, что мы наблюдали в атаке ExPetr, однако связь с ExPetr мы подтвердить не можем.
Уже известно, что продукты «Лаборатории Касперского» детектируют один из компонентов зловреда с помощью облачного сервиса Kaspersky Security Network как UDS:DangerousObject.Multi.Generic, а также с помощью System Watcher как PDM:Trojan.Win32.Generic.
 
Чтобы не стать жертвой новой эпидемии «Плохого кролика», рекомендуем сделать следующее:
Для пользователей наших защитных решений:

• Проверьте, включены ли в вашем защитном решении компоненты Kaspersky Security Network и «Мониторинг активности» (он же System Watcher). Если нет — обязательно включите.

Для тех, кто не пользуется защитными решениями «Лаборатории Касперского»:

• Заблокируйте исполнение файла c:\windows\infpub.dat, C:\Windows\cscc.dat.
• Запретите (если это возможно) использование сервиса WMI.

Для всех:

• Сделайте бэкап.
• Не платите выкуп.

https://www.kaspersky.ru/blog/bad-rabbit-ransomware/19072/
 

Сообщение от модератора kmscom

Тема перемещена из раздела Уничтожение вирусов

[Sandynist]

Пока сведения противоречивые.

 

Лаборатория Касперского утверждает, что эпидемия распространяется только через взломанные сайты некоторых СМИ, Group-IB  в свою очередь зафиксировала рассылку неких вредоносных файлов в банковский сектор: https://www.kommersant.ru/doc/3448772

[Имя пользователя]

никто не пишет, а странно, хотя уж привыкли

оно и понятно, ничего не изменилось, все та же лабуда и защита все та же: "не скачивай чер те шо и не запускай"

Изменено 25 октября, 2017 пользователем Имя пользователя

[Денис-НН]

А что писать? Очередное заражение шифровальщиком. Каждый день таких не одна тысяча. Кроме журналистов из этого никто не делает сенсации.

Вот например в прошлом году только сбербанк атаковали 74 раза. https://lenta.ru/news/2016/12/28/sberundersiege/

Изменено 25 октября, 2017 пользователем Денис-НН

[www2.1]

@Ig0r, Скрин доставляет.

Судя по всему MacOS, Tor.    

[wumbo12]

Лучше бы заблокировать луковой браузер или прекратить разработку Tor . Это будет правильным решением, потому что хакеры создают домены .onion -это регистрационный домен принадлежит Tor, по-этому лучше написать в петицию например AVAAZ и закрыть проект навсегда .

[status12]

Я понял что пока лучше не посещать новостные сайты и не устанавливать обновления adobe.

[www2.1]

@status12, Да нужен этот адобе, кому.. Вот с новостными сайтами, это да. Проблема. 

[Sapfira]

 

 

не устанавливать обновления adobe

Обновления-то тут причем? Реальные обновления с оф.сайта Adobe безопасны, это липовые рекламные баннеры содержат вирус.

Интересно, антибаннеры блокируют их или нет?

[Friend]

Шифровальщик Bad Rabbit: Как происходит заражение: https://www.comss.ru/page.php?id=4566

[ska79]

​@www2.1, не думаю если открыть сайт в песочнице, что произойдёт заражение

[wumbo12]

​@www2.1, не думаю если открыть сайт в песочнице, что произойдёт заражение

Если использоваться Sandbox -песочница, тогда все норм . Без Sandbox -вероятно заразы будет . Пример

здесь .

[Имя пользователя]

если exe-шники вирусные не запускать, то никаких вирусов на компе не будет с обновлением MS 17-010

 

плюс, конечно, не шлепать подозрительные примочки к браузеру, но об установке дополнения браузер предупреждает

 

т е, в общем-то, жить можно и ссылки кликать любые

 

я с Sandboxом не запариваюсь, это уже перебор

[Friend]

Новая информация по шифровальщику: https://securelist.ru/bad-rabbit-ransomware/87771/

[oit]

@Friend,  вывод: теневые копии должны помочь в восстановлении файлов при заражении плохим кроликом