Кибератака 24.10: как нападает Bad Rabbit и чем он похож на Petya.A

Новый вирус Bad Rabbit поразил 24 октября одесский аэропорт, Мининфраструктуры, Киевметрополитен, а также северы нескольких российских СМИ. Сейчас специалисты изучают, похож ли он на Petya.

Пока неизвестно, связаны ли все эти атаки, но все они произошли примерно в одно и то же время, пишет передает TJ.

Что известно о вирусе Bad Rabbit:

Заражение Bad Rabbit напоминает ситуацию с Petya, поскольку в мае 2017 года от него пострадали в основном компании в России и в Украине. Однако в компании Group-IB говорят, что сам Bad Rabbit не похож на Petya.A или WannaCry. Ситуация прояснится после изучения зараженных компьютеров.

Вирус заражает компьютер, шифруя на нем файлы. Получить доступ к ним нельзя. На экране компьютера отображается подробное сообщение с инструкциями: в Telegram-канале Group-IB опубликовали фото примеров таких зараженных компьютеров.

В инструкции говорится, что для расшифровки файлов нужно лишь ввести пароль. Но чтобы его получить, нужно проделать немалый путь. Во-первых, зайти на специальный сайт по адресу caforssztxqzf2nm.onion в даркнете -для этого потребуется браузер Tor. При этом сайт везде указан одинаковый.

На сайте и указано название вируса. Чтобы получить пароль на расшифровку данных, хакеры требуют ввести так называемый персональный код установки -длинный шифр из сообщения, выводимого на экране компьютера. После этого появится адрес биткоин-кошелька, на который требуется перевести деньги.

Вымогатели требуют выкуп -0,05 биткоина за каждый компьютер. Это примерно 283 доллара (Petya.A тоже требовал порядка 300 долларов).

Они дают всего двое суток на выплату первоначального выкупа. После истечения этого срока цена за расшифровку файлов вырастет, насколько -неизвестно.

Проверить адрес биткоин-кошелька, на который хакеры получают средства, при помощи доступных кодов с фотографий Group-IB не вышло.

Аналитики из ESET утверждают, что вирус Bad Rabbit распространяется под видом фейкового обновления плагина Adobe Flash. Судя по скриншоту, заражены сайты изданий Суть событий (argumentiru.com) и Аргументы недели Крым (an-crimea.ru).

Сайт argumentiru.com сейчас перенаправляет на an-crimea.ru, а на сайт Аргументы недели Крым при попытке захода через Google Chrome браузер выводит предупреждение о попытке мошенничества.