Для розповсюдження вірусу-шифрувальника BadRabbit хакери використовували "фейкові" оновлення ПЗ "AdobeFlashPlayer". Про це свідчить попередній аналіз даних, повідомили у кіберполіції.

Як з'ясувалось, 24 жовтня було зафіксовано поодинокі атаки типу "drive-by-download" з використанням програми шифрувальника, який отримав назву BadRabbit.

"Попередньо встановлено: у коді BadRabbit є дубльовані та аналогічні елементи коду Petya/NotPetya (Mimikatz, використання протоколу SMB для горизонтального поширення, використовуючи імена користувачів та їх паролі та інше)", – розповіли правоохоронці.

Як відзначили кіберполіцейські, на відміну від NotPetya, вірус BadRabbitне є вайпером, тобто він не має на меті знищення інформації на жорстких дисках уражених комп’ютерів. Але от справжньою метою цієї "атаки" було бажання зловмисників збагатитися, тобто вона була здійсненна виключно з корисливих мотивів.

Крім того , повідомляється, що серед постраждалих країн Україну уразило найменше. Так, згідно з даними кіберполіції, аудиторія українських користувачів не є масовою та складає близько 12% від загальної кількості разів скачування інфікованих оновлень.

Згідно аналізу даних, ключовою відмінністю між Petya/NotPetyaта BadRabbit є те, що початкові вектори атаки відрізняються.

Нині кіберполіція надала перелік уражених інтернет сайтів, з яких було зафіксовано поширення фальшивих оновленнь Flash:

• hxxp://argumentiru[.]com
• hxxp://www.fontanka[.]ru
• hxxp://grupovo[.]bg
• hxxp://www.sinematurk[.]com
• hxxp://www.aica.co[.]jp
• hxxp://spbvoditel[.]ru
• hxxp://argumenti[.]ru
• hxxp://www.mediaport[.]ua
• hxxp://blog.fontanka[.]ru
• hxxp://an-crimea[.]ru
• hxxp://www.t.ks[.]ua
• hxxp://most-dnepr[.]info
• hxxp://osvitaportal.com[.]ua
• hxxp://www.otbrana[.]com
• hxxp://calendar.fontanka[.]ru
• hxxp://www.grupovo[.]bg
• hxxp://www.pensionhotel[.]cz
• hxxp://www.online812[.]ru
• hxxp://www.imer[.]ro
• hxxp://novayagazeta.spb[.]ru
• hxxp://i24.com[.]ua
• hxxp://bg.pensionhotel[.]com
• hxxp://ankerch-crimea[.]ru

"Факти ураження комп'ютерів жертв внаслідок відкриття файлів електронних документів, що надсилалися каналами електронної пошти від невстановлених відправників, також мали місце та перевіряються", – додають у кіберполіції.

Там розповіли і про схему поширення вірусу: після відвідування ураженого сайту, користувачеві пропонується завантажити до себе на комп'ютер виконуваний файл-завантажувач (так званий "дропер"), що маскується під оновлення ПЗ AdobeFlashPlayer. Шкідлива програма для подальшого спрацювання повинна запускатися з правами адміністратора. Після запуску, вона завантажує ("дропає") та розгортає основний модуль з назвою infpub.dat у каталозі C:\Windows , який у подальшому виконується за допомогою rundll32.exe

Окрім infpub.dat, "дропер" у той самий каталог завантажує також інші елементи вірусу - файли "cscc.dat", "bootstat.dat" та "dispci.exe". Файл "dispci.exe" у подальшому запускається за допомогою запланованого завдання операційної системи. Його функція полягає у встановлені елементу вірусу – шифрувальника завантажувальної області.