Bad, Bad Rabbit
t.me/cyber_communism4 дня назад большое количество устройств крупных российских СМИ, а так же ряда украинских госучереждений, подверглись атакам со стороны неизвестных злоумышленников.
Данный зловред, получивший имя BadRabbit, является обычным вымогателем, шифрующим данные и модифицирующем загрузочный раздел так, что при запуске вы видите чёрный экран с красной надписью, информирующей вас о том, что ваши данные на диске зашифрованы и для рашифровки необходимо отправить 0.05 btc (~300$) на указанный адрес.
Техническая сторона
Что удивительно, данный криптор не использует никаких эксплоитов, в отличие от нашумевших Wanna Cry и Not Petya. Распространяется он через установку фальшивых обновлений flash player. После заражения вредонос задействовал утилиту Mimikatz для извлечения паролей из LSASS, которые
вкупе с набором стандартных пар логин/пароль распространяется в локальной сети (в этот раз обошлось без использования eternal blue).
Впринципе зловред не является последователем нашумевшего NotPetya, так как их исходный код совпадает лишь на 13% (информация аналитиков компании Intezer).
Еще один интересный нюанс: в коде Bad Rabbit были обнаружены множественные отсылки к «Игре престолов» (к примеру, там можно найти имена трех драконов: Drogon, Rhaegal, Viserion). Почему данный факт примечателен? Ранее похожие отсылки к популярной фэнтезийной саге были замечены в составе одного из скриптов, который использовался для распространения известного шифровальщика Locky.
Методы защиты
От него на удивление просто защититься. Инструкция из 2 шагов:
1)создать файл C:\windows\infpub.dat
2)выставить этому файлу права «только для чтения».
из-за невозможности создать этот файл вирус не сможет функционировать.
Будьте осторожнее, и подписывайтесь на t.me/cyber_communism