Как работает вирус Bad Rabbit
Он уже заразил компьютеры трёх российских СМИ и, вероятно, он же вызвал неполадки информационных систем на Украине.
Днём 24 октября перестали работать сайты информагентства «Интерфакс» и петербургской газеты «Фонтанка»: представители обоих сообщили, что причина заключалась в вирусной атаке. Позднее стало известно о атаке хакеров на украинское Мининфраструктуры, метро Киева и аэропорт Одессы.
Пока точно не известно, связаны ли все эти атаки, но все они произошли примерно в одно и то же время — о них стало известно с разницей в несколько часов. Как минимум, российские СМИ атаковал один и тот же вирус-шифровальщик, рассказывают в компании Group-IB и уточняют, что государственные учреждения на Украине тоже могли стать его жертвой.
Создатели самого вируса называют его Bad Rabbit. TJ рассказывает, что известно о вирусе.
- Заражение Bad Rabbit напоминает ситуацию с Petya.A в мае 2017 года: от него пострадали в основном компании в России и на Украине, распространение вируса происходило очень стремительно, хакеры требовали выкуп. Но в Group-IB говорят, что сам Bad Rabbit не похож на Petya.A или WannaCry — сейчас специалисты изучают заражённые компьютеры;
- Вирус заражает компьютер, шифруя на нём файлы. Получить доступ к ним нельзя. На экране компьютера отображается подробное сообщение с инструкциями: в Telegram-канале Group-IB опубликовали фото примеров таких заражённых компьютеров;
Фото Group-IB
- В инструкции говорится, что для расшифровки файлов нужно лишь ввести пароль. Но чтобы его получить, нужно проделать немалый путь. Во-первых, зайти на специальный сайт по адресу caforssztxqzf2nm.onion в даркнете — для этого потребуется браузер Tor. Судя по опубликованным Group-IB фотографиям, сайт везде указан одинаковый;
- На сайте и указано название вируса — Bad Rabbit. Чтобы получить пароль на расшифровку данных, хакеры требуют ввести «персональный код установки» — длинный шифр из сообщения, выводимого на экране компьютера. После этого появится адрес биткоин-кошелька, на который требуется перевести деньги;
- Судя по сайту Bad Rabbit, вымогатели требуют выкуп в 0,05 биткоина за каждый компьютер. По курсу на 24 октября это примерно 283 доллара или 16,5 тысяч рублей (Petya.A тоже требовал порядка 300 долларов);
- Опять же, судя по сайту вируса, вымогатели дают всего двое суток (48 часов) на выплату первоначального выкупа. После истечения этого срока цена за расшифровку файлов вырастет, насколько — неизвестно;
- Проверить адрес биткоин-кошелька, на который хакеры получают средства, при помощи доступных кодов с фотографий Group-IB не вышло. Возможно, они уже были использованы, возможно, мы допустили ошибку — всё-таки код длиной 356 символов;
- Аналитики из ESET утверждают, что вирус Bad Rabbit распространяется под видом фейкового обновления плагина Adobe Flash. Судя по скриншоту, заражены сайты изданий «Суть событий» (argumentiru.com) и «Аргументы недели Крым» (an-crimea.ru);
- Сайт argumentiru.com сейчас перенаправляет на an-crimea.ru, а на сайт «Аргументы недели Крым» при попытке захода через Google Chrome браузер выводит предупреждение о попытке мошенничества.
#badrabbit #вирусы #хакеры