5 фактов о новом зловреде Bad Rabbit, который претендует на лавры «Не Пети»

Со вчерашнего вечера из России и Украины приходит информация о хакерской атаке, которая парализовала новостные сайты, а также навредила киевскому метро и одесскому аэропорту. Вирус пытается быть похожим на NotPetya - поразивший этим летом тысячи компьютеров зловред. Он тоже шифрует файлы и требует выкуп в биткоинах. Как распространяется вирус

Заражение происходило через взломанные сайты. В их код загружался JavaScript-инжект. Он показывал пользователям поддельное окно, в котором предлагалось обновить плеер Adobe Flash. Соглашаясь на обновление, пользователь скачивает себе вредоносный файл, который запускается и заражает компьютер, а также распространяется дальше по сети. Что хотят вымогатели

По заражении пользователь видит черный экран с красным текстом. В тексте есть код и адрес сайта в даркнете. На этом сайте надо ввести код, после чего жертве выдадут адрес биткоин-кошелька, на который надо перевести 0,05 биткоина. Это порядка $280. Со временем стоимость выкупа увеличивается.

Как он связан с июньскими атаками

По данным экспертов, новый вирус BadRabbit включает в себя части, которые полностью повторяют код NotPetya. Его можно назвать модифицированной версией старого вируса, в котором исправлены ошибки в алгоритме шифрования.

Попытка взлома банков

К старту распространения вируса его создатели готовились заранее. Они также планировали атаку на крупнейшие российские банки. Зараженные файлы даже поступали туда, но системы защиты справились с угрозой. Вакцина уже найдена

Эксперты компании Group-IB уже нашли вакцину, которая способна защитить от вируса. Достаточно создать файл C:windowsinfpub.dat и поставить ему права только для чтения. После этого вирус не сможет зашифровать файлы на компьютере.

Также эксперты советуют заблокировать IP-адреса и доменные имена (1dnscontrol.com, 5.61.37.209), с которых происходило распространение вредоносных файлов. Они советуют сменить пароли администраторов на более сложные, так как вредонос работает в связке с программой Mimikatz, перехватывающей на зараженной машине логины и пароли. Она же содержит словарь логинов и паролей для попытки жесткого взлома.