Новости

« Назад

ESET 31.10.2017 12:35

2

 

Нашим экспертам удалось проанализировать шифратор Bad Rabbit (напоминаем, с начала атаки решения ESET детектируют его как Win32/Diskcoder.D).



1. Подтвердилась информация, что Bad Rabbit — новая версия нашумевшего вайпера Petya. Угроза шифрует файлы с помощью DiskCryptor — легальной утилиты для шифрования логических дисков, USB-накопителей и загрузочных системных разделов.



2. Для распространения Bad Rabbit злоумышленники скомпрометировали ряд популярных сайтов, внедрив в них вредоносный JavaScript. 



Среди скомпрометированных площадок — сайты «Фонтанки», «Новой газеты в Санкт-Петербурге» и «Аргументов недели».



3. Интересен сценарий атаки. При входе пользователя на зараженный сайт вредоносный код передает информацию о нем на удаленный сервер. Далее логика на стороне сервера определяет, представляет ли этот пользователь интерес.



В данный момент связи с сервером нет.



4. Если пользователь «интересен» шифратору, на странице зараженного сайта появляется всплывающее окно с предложением загрузить обновление для Flash Player. 



Нажав кнопку «Установить», пользователь загружает исполняемый файл, который и запускает шифратор. Далее файлы жертвы шифруются, а на экране появляется требование выкупа в размере 0,05 BTC (около 16 000 рублей). 



5. Заразив рабочую станцию в организации, шифратор распространяется по корпоративной сети через протокол SMB. В отличие от Petya, Bad Rabbit не использует эксплойт EthernalBlue — вместо этого он сканирует сеть на предмет открытых сетевых ресурсов. 



На зараженной машине запускается инструмент Mimikatz для сбора учетных данных. Предусмотрен жестко закодированный список логинов и паролей. 



Расследование продолжается, следите за нашими новостями.


Контакты
Вы можете связаться с нами любым удобным для вас способом:
Адрес:
Республика Коми
г. Сыктывкар
ул. Первомайская 70Б
оф. 448
Звоните по номеру:
По любым вопросом можете оставить заявку и наши специлисты помогут Вам
;