Нов криптовирус, наречен “Bad Rabbit”, набира скорост, като за момента

Нов криптовирус, наименуван “Bad Rabbit” , набира скорост, като за момента се популяризира най-вече в Русия и Украйна, където редица организации към този момент са станали негова жертва. Какво би трябвало да знаете за него?

Какво прави?

Криптовирусът към този момент болести няколко огромни съветски уеб страницата, в това число този на ИА “Интерфакс ”, както и украинско летище и метро системата в Киев. Американски представители обявиха, че известията за Bad Rabbit са били получени от " доста страни по света ".

Криптовирусите - злоумишлен програмен продукт, който блокира достъпа до наличието на инфектираната система и изисква заплащане, с цел да бъде отключена – надалеч не е ново събитие. WannaCry, а по-късно и Petya, провокираха голям безпорядък в световен мащаб по-рано тази година.

Техният правоприемник - Bad Rabbit – от своя страна, криптира компютъра и по-късно изисква заплащане от 0,05 биткойна, което се равнява на малко над 200 лири стерлинги (около 440 лева).

Размерът на заплащането, който е незабележим за някои от засегнатите организации, допуска потреблението на тактиката на " инцидентните жертви " (т.е. заплати и се моли да ти пратят отключващ код), при която създателят на акцията се надява, че жертвите ще сметнат, че минималният откуп е неизмерим с резултата от развалената от криптовируса информация. Разбира се, няма никакви гаранции, че в случай че платите, ще ви върнат достъпа до данните, а има и отчети от предходни жертви на криптовируси, които след това откриват, че правоохранителните органи са се намесили, с цел да предотвратят заплащания.

Как работи?

Kaspersky Lab отбелязва, че при посещаване на законен уеб страница злонамереният програмен продукт се изтегля от инфраструктурата на атакуващия - hxxp: // 1dnscontrol [.] Com / flash_install.php

Криптовирусът, който е затулен като инсталатор за Adobe Flash - файлът се назовава install_flash_player.exe, не се конфигурира автоматизирано. Той изисква администраторски права и в случай че бъде стартиран, ще задейства злоумишлен DLL като infpub.dat и ще започва с rundl32.

Kaspersky Lab твърди също по този начин, че този DLL наподобява е в положение да преодолее защитния протокол за идентификация NT Lan Manager (NTLM).

Според откриватели по сигурността в Cylance infpub.dat има 5 вградени изпълними стратегии:

Когато към този момент се намира на обещано устройство, infpub.dat ще конфигурира злоумишлен осъществим файл dispci.exe в C: Windows и ще насрочи задача за пускане на файла. Кодовата база на discpi наподобява сходна на помощната стратегия с отворен код DiskCryptor, изясняват от Kaspersky, само че се употребява за криптиране на файлове и инсталиране на модифициран запис за зареждане.

Противодействие

На първо място инсталирайте елементарно налични и безвъзмездни отбрани на вашата система: минимум Windows Defender би трябвало да е задействан и да работи. Също по този начин би трябвало да се уверите авансово, че платените антивирусни артикули, които употребявате, могат да предпазят устройството от този тип злоумишлен програмен продукт.

Изследователите от Cybereason Амит Серпер и Майк Ячовачи настояват, че са създали метод за попречване на офанзивата с Bad Rabbit. Техните техники, изброени малко по малко в блога на Cybereason, предлагат серия от ограничения.

За чиновниците на организации, които са открили, че са били наранени, Питър Гручут, шеф на екипа по възобновяване при бедствия Databarracks , предлага да се насочат непосредствено към отдела за ръководство на рецесии, който разполага с най-големи благоприятни условия да изолира злотворен програмен продукт, да откри точното място, от което е почнала инфекцията, и да вземе незабавни оперативни ограничения, с цел да излезете в офлайн режим.

" След като идентифицирате чистите данни, можете да започнете възобновяване и тестването на системата и данните, преди да се върнете още веднъж в мрежата ", споделя той.

Междувременно Матиас Майер от Splunk обръща внимание на положителната процедура бизнесът да следи непрекъснато цялата си активност в ИТ екосистемата, което дава опция на аналитичните организации да засичат нередовни модели, които биха могли да бъдат показателни за съществуването на злонамерени артисти. " Екипите по сигурността би трябвало да могат да проучват дали тяхната среда е евентуално уязвима и в случай че видят някакви индикатори за начална зараза, да могат бързо да подхващат подобаващи противопоставяния ", споделя Майер и прибавя: “Например - наподобява, че Bad Rabbit основава три нови планувани задания в дадена система, в това число наложително рестартиране. Чрез търсенето на тези съответни признаци в следените данни от регистрационните файлове организацията ще може да разпознава по-рано пациента нула и да работи, с цел да изолира въздействието му. "