Со вчерашнего вечера из России и Украины приходит информация о хакерской атаке, которая парализовала новостные сайты, а также навредила киевскому метро и одесскому аэропорту. Вирус пытается быть похожим на NotPetya — поразивший этим летом тысячи компьютеров зловред. Он тоже шифрует файлы и требует выкуп в биткоинах.
Как распространяется вирус
Заражение происходило через взломанные сайты. В их код загружался JavaScript-инжект. Он показывал пользователям поддельное окно, в котором предлагалось обновить плеер Adobe Flash. Соглашаясь на обновление, пользователь скачивает себе вредоносный файл, который запускается и заражает компьютер, а также распространяется дальше по сети.
Что хотят вымогатели
По заражении пользователь видит черный экран с красным текстом. В тексте есть код и адрес сайта в даркнете. На этом сайте надо ввести код, после чего жертве выдадут адрес биткоин-кошелька, на который надо перевести 0,05 биткоина. Это порядка $280. Со временем стоимость выкупа увеличивается.
Как он связан с июньскими атаками
По данным экспертов, новый вирус BadRabbit включает в себя части, которые полностью повторяют код NotPetya. Его можно назвать модифицированной версией старого вируса, в котором исправлены ошибки в алгоритме шифрования.
Попытка взлома банков
К старту распространения вируса его создатели готовились заранее. Они также планировали атаку на крупнейшие российские банки. Зараженные файлы даже поступали туда, но системы защиты справились с угрозой.
Вакцина уже найдена
Эксперты компании Group-IB уже нашли вакцину, которая способна защитить от вируса. Достаточно создать файл C:windowsinfpub.dat и поставить ему права только для чтения. После этого вирус не сможет зашифровать файлы на компьютере.
Также эксперты советуют заблокировать IP-адреса и доменные имена (1dnscontrol.com, 5.61.37.209), с которых происходило распространение вредоносных файлов. Они советуют сменить пароли администраторов на более сложные, так как вредонос работает в связке с программой Mimikatz, перехватывающей на зараженной машине логины и пароли. Она же содержит словарь логинов и паролей для попытки жесткого взлома.
Читайте также
Последние новости