FANDOM


ImgTwo-0

Як працює вірус Bad Rabbit / Фото з Twitter

Bad Rabbit (укр. «Поганий кролик») — вірус шифрувальник, виявлений у жовтні 2017. Розроблений для ОС сімейства Microsoft Windows.

Для початкової установки Вірус не використовує будь-яких експлойтів або вразливостей: інсталятор вірусу повинно бути завантажено та запущено вручну користувачем, він запитує підтвердження підвищення повноважень допомогою UAC Windows[1]. Після установки програма реєструється в штатному механізмі планування завдань і починає самостійне розповсюдження за допомогою перехоплення токенів і паролів віддаленого підключення утилітою Mimikatz перебору паролів NTLM на віддалених вузлах Windows для ряду поширених імен користувачів[2]. Додаток виробляє шифрування файлів, що мають ряд розширень.

В порушення ліцензії GPLv3 додаток Bad Rabbit користується кодами і драйвером з проекту DiskCryptor[3][4][5], але при цьому не публікує змінених вихідних кодів і не запитує у користувача згоди на використання ліцензії GPLv3.

Історія Редагувати

24 жовтня 2017 року, вірус шифрувальник атакував ряд російських ЗМІ, включаючи ІА «Інтерфакс» та інтернет-газету «Фонтанка», а також київське метро і аеропорт Одеса, вимагаючи за розблокування одного комп'ютера 0,05 біткоїнів (близько 16 тисяч рублів) протягом 48 годин[6][7][8][9]. Відновлення роботи сайту і комп'ютерів «Інтерфаксу» зайняло більше доби[10][11]. Тоді ж, у вірусі були знайдені відсилання до фентезі-саги «Гра престолів», а саме в іменах трьох драконів — Дрогона, Рейгаля і Візеріона[12][13][14][15].

Bad Rabbit в Україні Редагувати

24 жовтня перестали працювати сайти Міністерства інфраструктури, метро Києва та Одеського аеропорту, а також російські сайти інформагентства "Інтерфакс" і петербурзької газети "Фонтанка".

Наразі не відомо, чи пов'язані всі ці атаки, але всі вони сталися приблизно в один і той же час.[16]

Творці самого вірусу називають його Bad Rabbit. Ось, що відомо про вірус:

1. Від нього постраждали в основному компанії в Україні та Росії. Поширення вірусу відбувається дуже стрімко, і для розблокування хакери вимагають викуп.

2. Bad Rabbit заражає комп'ютер, шифруючи на ньому файли. Отримати доступ до них не можна. На екрані комп'ютера відображається докладне повідомлення з інструкціями.

3. В інструкціях сказано, що для розшифровки файлів потрібно лише ввести пароль. Але щоб його отримати, треба: по-перше, зайти на спеціальний сайт за адресою caforssztxqzf2nm.onion в даркнеті (анонімна мережа, доступ до якої можливий лише через певне програмне забезпечення, налаштування чи авторизацію) – для цього буде потрібно браузер Tor.

4. На сайті вказано назву вірусу – Bad Rabbit. Щоб отримати пароль на розшифровку даних, хакери вимагають ввести "персональний код установки" – довгий шифр з повідомлення, що виводиться на екрані комп'ютера. Після цього з'явиться адреса біткоїна-гаманця, на який потрібно перевести гроші.

5. Судячи з сайту Bad Rabbit, хакери вимагають викуп в 0,05 біткоїни за кожен комп'ютер. По курсу на 24 жовтня це приблизно 283 долара.

6. Судячи з сайту вірусу, вимагачі дають всього дві доби (48 годин) на виплату початкового викупу. Після закінчення цього терміну ціна за розшифровку файлів виросте, наскільки - невідомо.

7. Перевірити адресу біткоїна-гаманця, на який хакери отримують кошти, за допомогою доступних кодів з фотографій Group-IB не вийшло. Можливо вони вже були використані, можливо, виникла помилка.

8. Аналітики з ESET стверджують, що вірус Bad Rabbit поширюється під виглядом фейкового поновлення плагіна Adobe Flash.

9. Українські фахівці з команди реагування на комп'ютерні надзвичайні події України CERT-UA Державної служби спеціального зв'язку та захисту інформації показали як виглядає код вірусу.[17]

Див. також Редагувати

Примітки Редагувати

  1. https://xakep.ru/2017/10/25/bad-rabbit-specs/
  2. https://xakep.ru/2017/10/25/bad-rabbit-specs/
  3. https://xakep.ru/2017/10/25/bad-rabbit-specs/
  4. https://arstechnica.com/information-technology/2017/10/new-wave-of-data-encrypting-malware-crashes-through-russia-and-ukraine/
  5. https://twitter.com/GossiTheDog/status/922853877476724736
  6. Group-IB: вірус-шифрувальник Bad Rabbit атакував російські ЗМІ. 2017-10-24. Процитовано 2017-10-26. 
  7. Олексій Шароглазов (2017-10-24). Названі жертви атаки вірусу-шифровальщика Bad Rabbit. Процитовано 2017-10-26. 
  8. Іван Гусєв (2017-10-24). Росію атакував новий вірус-вимагач "Поганий кролик". Процитовано 2017-10-26. 
  9. Поліна Духанова (2017-10-24). «Не дуже грамотні хакери»: що стоїть за кібератаками на російські ЗМІ. Процитовано 2017-10-26. 
  10. Христина Жукова (2017-10-25). Відновлена робота постраждалих від вірусу Bad Rabbit ЗМІ. Процитовано 2017-10-26. 
  11. http://www.bbc.com/news/technology-41740768
  12. Експерти розкрили зв'язок між вірусом Bad Rabbit і «Грою престолів». 2017-10-25. Процитовано 2017-10-26. 
  13. Роман Босиков (2017-10-25). Експерти виявили зв'язок між вірусом Bad Rabbit і "Грою престолів". Процитовано 2017-10-26. 
  14. У вірусі «Bad Rabbit», що вразив російські ЗМІ, експерти знайшли відсилання до «Грі престолів». 2017-10-26. Процитовано 2017-10-26. 
  15. Вірус-шифрувальник Bad Rabbit створений фанатами «Ігри престолів». 2017-10-26. Процитовано 2017-10-26. 
  16. Bad Rabbit: що відомо про вірус в Україні. 24.tv. 2017-10-25. Процитовано 19:09, 24 жовтня. 
  17. Bad Rabbit: що відомо про вірус в Україні. 24.tv. 2017-10-25. Процитовано 19:09, 24 жовтня. 

Ad blocker interference detected!


Wikia is a free-to-use site that makes money from advertising. We have a modified experience for viewers using ad blockers

Wikia is not accessible if you’ve made further modifications. Remove the custom ad blocker rule(s) and the page will load as expected.