24.10.2017 зафиксирована эпидемия программы шифровальщика Bad Rabbit.
Программа устанавливается путем загрузки поддельного обновления FlashPlayer.
Компрометируемые системы — семейство операционных систем Microsoft Windows.
Программа-шифровальщик распространяется в виде поддельного обновления FlashPlayer. При переходе пользователем на модифицированный веб-сайт ему предлагается выполнять обновление FlashPlayer.
При этом загрузка вредоносного ПО происходит с адреса hxxp://1dnscontrol[.]com/flash_install.php.
После установки выполняется шифрование файлов и документов. Для расшифровки BadRabbit запрашивает оплату в Bitcoin, на TOR сайте caforssztxqzf2nm[.]onion.
После установки программа создает задание на запуск шифровальщика в планировщике заданий Windows.
Для запуска программа требует административных привилегий, поэтому использует встроенные средства получения учетной записи из кэша ОС (Mimikatz) и перебор по словарю.
Базовые меры по противодействию:
- Для предотвращения шифрования, необходимо создать файл C:\windows\infpub.dat с правами «только для чтения». В таком случае, при заражении файлы не будут зашифрованы.
- Обновить MS Windows до актуальных версий.
- Обновить базы антивирусного программного обеспечения.
- Минимизировать привилегии пользователей на рабочих станциях.
- Обновить базы решающих правил для систем обнаружения атак.
- Не скачивать и не устанавливать файлы из неизвестных источников
- Не переходить по сторонним подозрительным ссылкам, в том числе, из социальных сетей и электронных писем, особенно если они исходят от неизвестных вам пользователей.
- Заблокировать запросы на:
IP: 185.149.120[.]3
DNS:
- 1dnscontrol[.]com
- caforssztxqzf2nm[.]onion
- Заблокировать доступ к сайтам, содержащим вредоносное ПО:
На текущий момент известны следующие скомпрометированные ресурсы, которые предлагают загрузку вредоносного ПО:
- hxxp://argumentiru[.]com
- hxxp://www.fontanka[.]ru
- hxxp://grupovo[.]bg
- hxxp://www.sinematurk[.]com
- hxxp://www.aica.co[.]jp
- hxxp://spbvoditel[.]ru
- hxxp://argumenti[.]ru
- hxxp://www.mediaport[.]ua
- hxxp://blog.fontanka[.]ru
- hxxp://an-crimea[.]ru
- hxxp://www.t.ks[.]ua
- hxxp://most-dnepr[.]info
- hxxp://osvitaportal.com[.]ua
- hxxp://www.otbrana[.]com
- hxxp://calendar.fontanka[.]ru
- hxxp://www.grupovo[.]bg
- hxxp://www.pensionhotel[.]cz
- hxxp://www.online812[.]ru
- hxxp://www.imer[.]ro
- hxxp://novayagazeta.spb[.]ru
- hxxp://i24.com[.]ua
- hxxp://bg.pensionhotel[.]com
- hxxp://ankerch-crimea[.]ru