Загрузка...
Главная  |  Новости  |  Что такое вирус шифровальщик BadRabbit (хроника недавних событий)

Вирус шифровальщик BadRabbit (хроника недавних событий)

20.11.2017

Вирус шифровальщик BadRabbit (хроника недавних событий)

Проблемы мошенничества и хакерских рейдов в Глобальной Сети все еще сохраняют актуальность. Технологии онлайн-аферистов становятся все совершеннее и часто они находятся на шаг впереди разработчиков антивирусных программных обеспечений. Эволюция преступных схем, как известно, продолжилась разработкой и распространением вирусов-вымогателей, которые ориентированы на получение выкупа в цифровых денежных единицах и чаще всего это Биткоин.

Несколько недель назад была зафиксирована повышенная активность компьютерного вируса шифровальщика BadRabbit. От его атак пострадали некоторые СМИ России и отдельные украинские учреждения. Кроме того, турецкие и германские власти также подтвердили факт заражения определенного, хоть и невеликого количества компьютеров.

Хакеры действовали по стандартной схеме: они блокировали информацию и требовали за освобождение каждого файла по 0,05 Биткоина, что в перерасчете на доллары составляет около 280 условных единиц. Причем выкуп нужно было перечислить не позднее двух суток с момента заражения. В противном случае они грозились навсегда блокировать атакованный объект.

Особенности вируса

Как показали события, атаке зловредной программы подвергается только операционная система Виндовс. Киберпреступники требуют перейти на определенный сайт, на котором размещается цифровой кошелек для перевода выкупа. Но распространение вируса происходило с другого домена.

Эксперты по компьютерной безопасности установили сходство BadRabbit с другим вирусом, известным под именем NotPetya. Так, в кодах обеих «червей» есть много общего, в частности, аналогичный алгоритм вычисления хэша.

Подробности отчета

Согласно отчету экспертов, распространение вируса шифровальщика BadRabbit происходило через алгоритм drive-by download. Другими словами, пользователь сам устанавливал вредоносную программу, которая маскировалась под другой файл. «Червь» скачивал сведения со взломанных ресурсов и отправлял их на сервер фирмы Jetmail. Это говорит о том, что компания была атакована одной из первых. В прошлом группа, именуемая себя Lazarus, использовала аналогичную схему для нападения на банковские учреждения.

После того как вирус попадал на атакованный компьютер, вредоносная программа начинала действовать и удаляла системный файл.

Экспертам удалось выяснить, что последнее обновление сайта, с которого происходили атаки, имело место 19 октября, то есть, за пять дней до масштабного нападения. Сам домен был зарегистрирован еще в декабре 2016 года, и он остается активным до настоящего времени. Поэтому не исключено, что мошенники уже давно используют его ресурсы. Этим и следует объяснить появление версии, согласно которой создатели BadRabbit купили его у другой группы хакеров.

Первая атака имела место утром 24 октября. Всего нападению подверглось около двадцати онлайн-ресурсов из Болгарии, Украины, Турции и России. Также пострадали отдельные японские, чешские и германские сайты. Компиляция вируса шифровальщика BadRabbit произошла двумя днями ранее перед первой атакой. Эксперты выяснили, что изначально нападение было запланировано на 25 октября, что подтверждается изучением файлов на домене. Вполне вероятно, что налет организован известной хакерской структурой BlackEnergy.

Вредоносная программа предприняла попытки атаки ТОП российских банков. Но их защита не позволила вирусу распространиться. По этому поводу банкиры заявили, что безопасность финансовой системы намного надежнее, чем организаций другого профиля. Но будет неправильным утверждать, что целью преступников были украинские и российские фирмы. Вирус был распространен по всему миру, что подтверждают сообщения, поступающие из стран Азии и Европы. Эксперты полагают, что целью хакеров были не только средства массовой информации и государственные структуры.

Механизм распространения вредоносной программы очень простой. Хакеры взломали ряд сайтов, предлагающих посетителям установить обновление Flash Player. Это один из самых востребованных продуктов на рынке, который применяется почти на каждом компьютере. Большинство пользователей, которые видели соответствующее сообщение, без всяких задних мыслей скачивали предложенное обновление. Тогда как на самом деле это был вирус шифровальщик BadRabbit, который только прикидывался полезной программой.

Некоторые эксперты придерживаются мнения, что даже оплата выкупа не могла спасти данные от их уничтожения. Не исключено, что целью хакеров был сам акт шифрования, с помощью которого происходила безвозвратная ликвидация информации, хранящейся на компьютере.

Почему Биткоины

Напрашивается вполне закономерный вопрос: почему государственные организации снова оказались под прицелом, ведь это не первая атака киберпреступников? Ответ очевиден — чиновники не соблюдают элементарные правила компьютерной безопасности. Так, специальные «заплатки» были созданы задолго до атаки вируса Petya, но далеко не все учреждения его установили, в результате чего их компьютеры были заражены.

Эксперты утверждают, что подобная ситуация будет повторяться до тех пор, пока пользователи будут самостоятельно устанавливать сомнительные файлы. В настоящее время одним из наиболее действенных способов защиты от хакеров считается технология блокчейна.

Условия киберпреступников, которые за разблокировку данных требуют заплатить Биткоинами, объясняется очень просто: транзакции с цифровой валютой приватные, поэтому отследить их очень сложно. Причем для каждой атаки создается отдельный кошелек, что еще больше усложняет расследование. В дальнейшем хакеры реализуют монеты через одну из многочисленных биржевых площадок и их след безвозвратно теряется.

По словам программистов, с восстановлением данных могут быть проблемы. Меньше всего пострадали организации, которые позаботились о своевременном изготовлении копий. Но в некоторых случаях вирус шифровал не только данные, но и резервные файлы.

Защита от вируса

Прежде всего, пользователям следует усвоить правила элементарной кибергигиены: избегать скачивания сомнительных файлов и не переходить по неизвестным ссылкам.

25 октября программисты разработали «аварийную кнопку», способную остановить вирус. Пользователи должны создать файл под названием C:windowsinfpub.dat и обозначить режим «только для чтения». В этом случае, даже если компьютер атакует вредоносная программа, она не сможет зашифровать информацию. Следовательно, хакеры не смогут требовать заплатить Биткоинами за ее восстановление.

Представители лаборатории Касперского утверждают, что за первое полугодие почти 43% российских компаний подверглись хакерской атаке. Причем чаще всего от нападений страдают производственные организации и инженерные компании. Кроме того, Россия вошла в десятку стран, в которых компьютеры на фирмах чаще всего подвергаются заражению. Рейтинг возглавили Украина, Малайзия, а также Дания.

По словам представителей прокуратуры РФ, за последние три года количество киберпреступлений возросло в шесть раз. Причем в текущем году наблюдается самый значительный прирост атак, почти на 26%. Аналитики прогнозируют, что в следующем году этот показатель возрастет в четыре раза. Страны СНГ пребывают в зоне риска, поскольку системы безопасности работают недостаточно эффективно. Поэтому Сбербанк с ФСБ планируют разработку новой системы, которая сведет к минимуму ущерб от рейдерских налетов хакеров.