Блог 

Не станьте жертвой эпидемии! Вредоносное ПО BadRabbit

24.10.2017 зафиксирована эпидемия программы шифровальщика Bad Rabbit.

Программа устанавливается путем загрузки поддельного обновления FlashPlayer.

Компрометируемые системы — семейство операционных систем Microsoft Windows.

Программа-шифровальщик распространяется в виде поддельного обновления FlashPlayer. При переходе пользователем на модифицированный веб-сайт ему предлагается выполнять обновление FlashPlayer.

При этом загрузка вредоносного ПО происходит с адреса hxxp://1dnscontrol[.]com/flash_install.php.

После установки выполняется шифрование файлов и документов. Для расшифровки BadRabbit запрашивает оплату в Bitcoin, на TOR сайте caforssztxqzf2nm[.]onion.

После установки программа создает задание на запуск шифровальщика в планировщике заданий Windows.

Для запуска программа требует административных привилегий, поэтому использует встроенные средства получения учетной записи из кэша ОС (Mimikatz) и перебор по словарю.

Базовые меры по противодействию:

  1. Для предотвращения шифрования, необходимо создать файл C:\windows\infpub.dat с правами «только для чтения». В таком случае, при заражении файлы не будут зашифрованы.
  2. Обновить MS Windows до актуальных версий.
  3. Обновить базы антивирусного программного обеспечения.
  4. Минимизировать привилегии пользователей на рабочих станциях.
  5. Обновить базы решающих правил для систем обнаружения атак.
  6. Не скачивать и не устанавливать файлы из неизвестных источников
  7. Не переходить по сторонним подозрительным ссылкам, в том числе, из социальных сетей и электронных писем, особенно если они исходят от неизвестных вам пользователей.
  8. Заблокировать запросы на:

IP: 185.149.120[.]3

DNS:

  • 1dnscontrol[.]com
  • caforssztxqzf2nm[.]onion

 

  1. Заблокировать доступ к сайтам, содержащим вредоносное ПО:

На текущий момент известны следующие скомпрометированные ресурсы, которые предлагают загрузку вредоносного ПО:

  • hxxp://argumentiru[.]com
  • hxxp://www.fontanka[.]ru
  • hxxp://grupovo[.]bg
  • hxxp://www.sinematurk[.]com
  • hxxp://www.aica.co[.]jp
  • hxxp://spbvoditel[.]ru
  • hxxp://argumenti[.]ru
  • hxxp://www.mediaport[.]ua
  • hxxp://blog.fontanka[.]ru
  • hxxp://an-crimea[.]ru
  • hxxp://www.t.ks[.]ua
  • hxxp://most-dnepr[.]info
  • hxxp://osvitaportal.com[.]ua
  • hxxp://www.otbrana[.]com
  • hxxp://calendar.fontanka[.]ru
  • hxxp://www.grupovo[.]bg
  • hxxp://www.pensionhotel[.]cz
  • hxxp://www.online812[.]ru
  • hxxp://www.imer[.]ro
  • hxxp://novayagazeta.spb[.]ru
  • hxxp://i24.com[.]ua
  • hxxp://bg.pensionhotel[.]com
  • hxxp://ankerch-crimea[.]ru