MKD-CIRT National Centre for Computer Incident Response
Нов рансомвер нарешен BadRabbit масовно се шири низ неколку држави во источна Европа. Главни цели на нападите се јавниот и приватниот сектор, како на пример украински аеродром, системот на подземната железница, украинското Министерство за инфраструктура, три руски новински агенции и др. Брзината со која се шири овој штетен софтвер наликува на WannaCry и NotPetya.
Овој рансомвер ги напаѓа Windows оперативните системи, и тоа верзиите од XP до 10. BadRabbit користи неколку вектори за напад, а еден од нив е ранливост во SMB протоколот што беше искористувана и претходно кај WannaCry и NotPetya. Microsoft во март оваа година издаде закрпа за постарите верзии на Windows. Без разлика дали е инсталирана закрпата, ранливи можат да бидат и целосно навремено ажурирани оперативни системи.
Овој нов рансомвер врши шифрирање на податоците на корисникот и криминалците бараат откупнина од 0.05 биткоини (~ 285 USD) како предуслов за отклучување на документите.
Според известувањето од Kapsersky Lab, инсталацијата на овој штетен софтвер се иницира од страна на корисникот и истата е маскирана како Adobe Flash Installer.
Истражувачите од команијата ESET го детектираат овој рансовер како „ Win32/Diskcoder.D “ – нова верзија на раносомвер Petya, познат и како Petrwrap, NotPetya, exPetr и GoldenEye.
BadRabbit користи DiskCryptor софтвер од тип отворен код, со кој се врши целосно шифрирање на диск. Шифрирањето е со RSA 2048 клучеви.
Во ESET веруваат дека овој нов бран на напади не ја искористува EternalBlue ранливоста. Наместо тоа, овој штетен софтвер најпрво ја проверува и скенира локалната мрежа за отворени SMB конекции. Потоа се обидува да ја изврши инсталацијата преку најава со кориснички имиња и лозинки од листа. Исто така ја користи и алатката Mimikatz за активности по успешна инфекција, со цел екстракција на лозинките од инфицираниот систем.
Пораката за откупнина бара од жртвата да се најави на Tor onion веб-страница за да го направи плаќањето и при тоа одбројува 40 часа пред зголемување на цената за откуп.
Како да се заштитите од BadRabbit?
Kaspersky Lab предлагаат да се исклучи WMI сервисот, со цел да се спречи ширење на штетниот софтвер преку локалната компјутерска мрежа.
Повеќето форми на рансомвер се шират преку фишинг електронски пораки, малициозни реклами поставени на сомнителни веб-страници, и како додатоци на други апликации и софтвери.
Секогаш внимавајте при отворање на додатоци – документи добиени по електронска пошта кои се испратени од непознат испраќач или кои не сте ги побарале. Како превенција секогаш потврдете го изворот на испраќање на пораките пред да ги отворите додатоците.
Никогаш не преземајте апликации од непотврдени и извори или страници кои не се официјални канали за дистрибуција на софтвер.
Редовно снимајте backup копија од важните документи на надворешни дискови кои не се секогаш приклучени на вашиот компјутер.
Задолжително активирајте и навремено ажурирајте антивирусна и антиспам заштита на вашиот компјутер.
Извор: The Hacker News