вірус BadRabbit
вірус BadRabbit
фото Газета.ру

Кіберполіція розповіла подробиці дії віруса-шифрувальника BadRabbit

    Справжньою метою цієї "атаки" було бажання зловмисників збагатитися, тобто вона була здійсненна виключно з корисливих мотивів

    Для розповсюдження вірусу-шифрувальника BadRabbit хакери використовували "фейкові" оновлення ПЗ "AdobeFlashPlayer". Про це свідчить попередній аналіз даних, повідомили у кіберполіції.

    Як з'ясувалось, 24 жовтня було зафіксовано поодинокі атаки типу "drive-by-download" з використанням програми шифрувальника, який отримав назву BadRabbit.

    "Попередньо встановлено: у коді BadRabbit є дубльовані та аналогічні елементи коду Petya/NotPetya (Mimikatz, використання протоколу SMB для горизонтального поширення, використовуючи імена користувачів та їх паролі та інше)", – розповіли правоохоронці.

    Як відзначили кіберполіцейські, на відміну від NotPetya, вірус BadRabbitне є вайпером, тобто він не має на меті знищення інформації на жорстких дисках уражених комп’ютерів. Але от справжньою метою цієї "атаки" було бажання зловмисників збагатитися, тобто вона була здійсненна виключно з корисливих мотивів.

    Крім того , повідомляється, що серед постраждалих країн Україну уразило найменше. Так, згідно з даними кіберполіції, аудиторія українських користувачів не є масовою та складає близько 12% від загальної кількості разів скачування інфікованих оновлень.

    Згідно аналізу даних, ключовою відмінністю між Petya/NotPetyaта BadRabbit є те, що початкові вектори атаки відрізняються.

    Нині кіберполіція надала перелік уражених інтернет сайтів, з яких було зафіксовано поширення фальшивих оновленнь Flash:

    • hxxp://argumentiru[.]com
    • hxxp://www.fontanka[.]ru
    • hxxp://grupovo[.]bg
    • hxxp://www.sinematurk[.]com
    • hxxp://www.aica.co[.]jp
    • hxxp://spbvoditel[.]ru
    • hxxp://argumenti[.]ru
    • hxxp://www.mediaport[.]ua
    • hxxp://blog.fontanka[.]ru
    • hxxp://an-crimea[.]ru
    • hxxp://www.t.ks[.]ua
    • hxxp://most-dnepr[.]info
    • hxxp://osvitaportal.com[.]ua
    • hxxp://www.otbrana[.]com
    • hxxp://calendar.fontanka[.]ru
    • hxxp://www.grupovo[.]bg
    • hxxp://www.pensionhotel[.]cz
    • hxxp://www.online812[.]ru
    • hxxp://www.imer[.]ro
    • hxxp://novayagazeta.spb[.]ru
    • hxxp://i24.com[.]ua
    • hxxp://bg.pensionhotel[.]com
    • hxxp://ankerch-crimea[.]ru

    "Факти ураження комп'ютерів жертв внаслідок відкриття файлів електронних документів, що надсилалися каналами електронної пошти від невстановлених відправників, також мали місце та перевіряються", – додають у кіберполіції.

    Там розповіли і про схему поширення вірусу: після відвідування ураженого сайту, користувачеві пропонується завантажити до себе на комп'ютер виконуваний файл-завантажувач (так званий "дропер"), що маскується під оновлення ПЗ AdobeFlashPlayer. Шкідлива програма для подальшого спрацювання повинна запускатися з правами адміністратора. Після запуску, вона завантажує ("дропає") та розгортає основний модуль з назвою infpub.dat у каталозі C:\Windows , який у подальшому виконується за допомогою rundll32.exe

    Окрім infpub.dat, "дропер" у той самий каталог завантажує також інші елементи вірусу - файли "cscc.dat", "bootstat.dat" та "dispci.exe". Файл "dispci.exe" у подальшому запускається за допомогою запланованого завдання операційної системи. Його функція полягає у встановлені елементу вірусу – шифрувальника завантажувальної області.

    Попередній матеріал
    У Варшаві стартує платформа співпраці НАТО-Україна по протидіям гібридним загрозам
    Наступний матеріал
    На нардепа Мосійчука скоїли замах, прогримів вибух – прес-служба нардепа