Bad, Bad Rabbit

4 дня назад большое количество устройств крупных российских СМИ, а так же ряда украинских госучереждений, подверглись атакам со стороны неизвестных злоумышленников.

Данный зловред, получивший имя BadRabbit, является обычным вымогателем, шифрующим данные и модифицирующем загрузочный раздел так, что при запуске вы видите чёрный экран с красной надписью, информирующей вас о том, что ваши данные на диске зашифрованы и для рашифровки необходимо отправить 0.05 btc (~300$) на указанный адрес.

Техническая сторона

Что удивительно, данный криптор не использует никаких эксплоитов, в отличие от нашумевших Wanna Cry и Not Petya. Распространяется он через установку фальшивых обновлений flash player. После заражения вредонос задействовал утилиту Mimikatz для извлечения паролей из LSASS, которые

вкупе с набором стандартных пар логин/пароль распространяется в локальной сети (в этот раз обошлось без использования eternal blue).

Впринципе зловред не является последователем нашумевшего NotPetya, так как их исходный код совпадает лишь на 13% (информация аналитиков компании  Intezer).

Еще один интересный нюанс: в коде Bad Rabbit были обнаружены множественные отсылки к «Игре престолов» (к примеру, там можно найти имена трех драконов: Drogon, Rhaegal, Viserion). Почему данный факт примечателен? Ранее похожие отсылки к популярной фэнтезийной саге были замечены в составе одного из скриптов, который использовался для распространения известного шифровальщика Locky.

Методы защиты

От него на удивление просто защититься. Инструкция из 2 шагов:

1)создать файл C:\windows\infpub.dat

2)выставить этому файлу права «только для чтения».

из-за невозможности создать этот файл вирус не сможет функционировать.

Будьте осторожнее, и подписывайтесь на t.me/cyber_communism