BadRabbit a další ransomwarové viry: jak chránit sebe a svou firmu

Bad Rabbit virus: jak se šíří, jak se chránit – popis nového ransomwarového viru

Virus Bad Rabbit je novou hrozbou pro uživatele internetu a na celém světě. Tentokrát se další malware zaměřil na ruské a ukrajinské banky a velké organizace. Infekce tímto „králíkem“ je plná – jak se chránit před útokem?

Bad Rabbit virus – co to je?

„Bad Bunny“ je nejbližší příbuzný „Petita“ a jeho „ukňouraného“ předchůdce. Jinými slovy, Bad Rabbit je modifikací virů WannaCry a Petya – NotPetya, zejména. Podle společnosti Group-IB, která se specializuje na vyšetřování a prevenci kybernetických útoků, je její cesta stejná jako cesta NotPetya, tedy cílem je Rusko a Ukrajina.

Jak je Bad Rabbit distribuován?

Jak redaktoři „UF“ zjistili, virus se šíří prostřednictvím phishingových odkazů na internetu. Zejména v informačním dopise zaslaném některým organizacím bylo uvedeno, že škodlivé odkazy k získání citlivých dat jsou maskovány jako neškodné vyskakovací okno. Číhající „králík“ nabízí aktualizaci Adobe Flash Player. Po kliknutí na odkaz se uživatel dostane na inzertní stránku, obvykle v novém okně.

Infekce s sebou nese zašifrování všech souborů a výměnou za dešifrování podle klasiků virus požaduje platbu v kryptoměnách.

Jak se chránit před virem Bad Rabbit?

Ochrana proti novému viru je poněkud odlišná od jeho předchůdců. Protože je distribuován odlišně, budou pravidla zaměřena na ochranu před spamem a blokování phishingových odkazů.

Doporučení jsou:

• Jak radí experti Group-IB, měli byste vytvořit soubor infpub.dat a umístěte jej na C:windowsinfpub.data poté nastavte přístupová práva na „pouze pro čtení“.
• Naprosté ignorování podezřelých vyskakovacích odkazů, jako například: „zlato zdarma“, „vyhrál jsi v loterii“ a podobně. Ignorování aktualizací neznámých programů v prohlížeči;
• Aktualizujte a kontrolujte software pouze na oficiálních stránkách dodavatele;
• Použití AdBlock pro váš prohlížeč;
• Nečtěte složku se spamem ve vašem e-mailu – pokud si nejste jisti, že je e-mail bezpečný, samozřejmě/

Tato opatření pomohou uživatelům přežít tento útok beze ztrát. Mimochodem, některé organizace měly méně štěstí – přístup k internetu byl jako poslední možnost vypnut, zejména největší dopravce v Rusku se k takovým opatřením uchýlil.

Pro záznamu: phishing, phishingová stránka, phishingový odkaz – typ odkazu obsahujícího škodlivý kód. Je to maskované a často docela věrohodně jako běžný internetový zdroj nebo informační okno. Phishing se tváří jako žádost o hesla a osobní údaje, což by za normálních okolností nemělo být.

Chronicles of BadRabbit – ransomware, který zachvátil Rusko a Ukrajinu

Threat Intelligence Team 26. října 2017

Threat Intelligence Team, 26. října 2017

Jak se chránit před virem, který ochromil práci mnoha uživatelů a institucí? Proč byl vypůjčen kód NotPetya a odkazy na Hru o trůny?

Tento týden zachvátila svět další kybernetická epidemie. Nový ransomware virus, BadRabbit, se začal šířit prostřednictvím ruských mediálních stránek. Ransomware požaduje výkupné ve výši 0,55 bitcoinu (asi 16 tisíc rublů).

I přes mírnou podobnost mezi zdrojovými kódy BadRabbit a slavného ransomwaru NotPetya se viru nepodařilo infikovat tolik zařízení jako během epidemií Petya a WannaCry. Přesto se mu podařilo zasáhnout zařízení ministerstva infrastruktury Ukrajiny, kyjevské metro, letiště v Oděse a také velké množství uživatelů.

Podle Avast Online Threat Lab zažili útoky obyvatelé 15 zemí. Nejvíce utrpělo Rusko (zaznamenali jsme 71 % všech pokusů o útok na jeho území), Ukrajina – 14 % a Bulharsko – 8 %.

Jak se virus BadRabbit šíří?

Tentokrát se virus šířil pod rouškou aktualizací, kterým můžete věřit.

Útočníci kompromitovali informační systémy agentury Interfax a server zpravodajského portálu Fontanka tím, že do nich vložili škodlivý skript. Při návštěvě stránek skript způsobil vyskakovací okno s žádostí o instalaci falešné aktualizace Adobe Flash. Pokud uživatel souhlasil, byl do počítače stažen spustitelný škodlivý soubor, který spustil virus.

Po infekci se ransomware snaží šířit sám prostřednictvím protokolu SMB do dalších počítačů umístěných ve stejné síti jako infikované zařízení. Pro distribuci má seznam výchozích přihlašovacích údajů a hesel a také používá nástroj Mimikatz k extrahování přihlašovacích údajů ze systému. Na rozdíl od WannaCry a NotPetya nový virus nepoužívá exploit EternalBlue k masivní infikování sítě zařízení.

Mimikatz používá systémovou službu Local Security Authority Subsystem Service (LSASS), která ukládá hashe a hesla používaná pro různé autentizační relace. Například za účelem získání přístupu ke sdílené složce, která je uložena na jiném počítači v síti. Chcete-li to provést, musíte zadat uživatelské jméno a heslo, které jsou uloženy v LSASS, aby nedošlo k opětovnému zadávání těchto údajů během aktivní relace.

Nástroj prohledá paměť LSASS, aby našel přihlašovací údaje a vypsal je. Útočníci je pak využívají k získání přístupu ke sdíleným vzdáleným složkám pro následné šifrování a distribuci do dalších zařízení v místní síti.

Ve Windows 8.1 a vyšších existuje možnost chránit Mimikatz spuštěním LSASS v chráněném režimu, ale tato možnost je bohužel ve výchozím nastavení zakázána.

Jak virus BadRabbit šifruje soubory?

Útočníci znovu nevynalezli kolo a použili část zdrojového kódu ransomwaru NotPetya, opravili chyby a přizpůsobili jej novým úkolům.

BadRabbit ransomware šifruje disk i soubory na infikovaném zařízení. Za prvé, soubory jsou šifrovány pomocí kryptografického API (Crypto-API) zabudovaného do Windows. Zároveň se nainstaluje legitimní program DiskCryptor, který restartuje systém a začne šifrovat disk.

Během toho virus vytvoří novou službu s názvem „cscc“. A v případě selhání se použije stávající služba souborového systému CD-ROM („cdfs“).

Stojí za zmínku, že původní soubory jsou zašifrovány ve svém původním umístění, což značně snižuje pravděpodobnost, že budou obnoveny bez dešifrovacího klíče. Na rozdíl od NotPetya však alespoň zajišťuje vytvoření tohoto klíče, což znamená, že oběť bude mít možnost obnovit přístup k souborům.

Některé další ransomware fungují jinak. Šifrují data do nových souborů, zatímco ty původní mažou. Ale i v tomto případě, stejně jako u běžného mazání, existuje možnost jejich obnovení.

Přístup k souborům je blokován pomocí šifrovacího algoritmu AES-128, který nelze prolomit hrubou silou. 33bajtový šifrovací klíč je generován pomocí CryptGenRandom, kryptograficky silné funkce generátoru náhodných čísel, a hashován pomocí algoritmu MD5.

Ransomware komplikuje řádky kódu, aby oklamal antivirové analyzátory, a stejně jako virus Locky obsahuje odkazy na Game of Thrones (jména draků lze nalézt v kódu).

Navzdory těmto trikům antivirus Avast detekuje BadRabbit jako Win32:Malware-gen a chrání všechny naše uživatele před virem.

Jak se chránit před BadRabbit?

Pokud máte práva správce a v systému je soubor C:Windowscscc.dat, virus se na počítači nespustí. V opačném případě otevřete Poznámkový blok a vytvořte soubor s názvem cscc.dat a přesuňte jej do složky Windows na disku C.

Pokud se infekci nedalo vyhnout, nedoporučujeme platit výkupné. Není pravda, že vám pošlou klíč, abyste znovu získali přístup k souborům. A díky obdrženým prostředkům budou útočníci schopni vytvářet a distribuovat další ransomwarové viry, aby vydělali nové peníze.

Abyste se nestali obětí ransomwaru, doporučujeme:

1. Nainstalujte si do všech svých zařízení (včetně mobilních) kvalitní antivirové řešení.

Obrazovka chování antiviru Avast analyzuje atypické chování všech programů na přítomnost skrytého škodlivého kódu. A funkce CyberCapture je schopna detekovat nové a neznámé kybernetické hrozby.

2. Pravidelně instalujte aktualizace softwaru. Nové verze často obsahují bezpečnostní záplaty.

Samozřejmě, že v případě BadRabbit byli uživatelé přistiženi právě při tom. Aktualizace proto vždy instalujte pouze od oficiálních výrobců a distributorů softwaru.

3. Buďte opatrní. Neotevírejte podezřelé přílohy e-mailů nebo odkazy na internetu.

Co může být děsivého na otevření textového dokumentu aplikace Word nebo tabulky v aplikaci Excel? Škodlivé soubory mohou obsahovat makra, která umožňují stahování virů do vašeho počítače.

Distributoři ransomwaru často používají techniky sociálního inženýrství, aby přiměli lidi ke stažení virů.

4. Pravidelně zálohujte svá data a provádějte to správně.

Pokud máte možnost obnovit data ze záloh, škody způsobené šifrováním nebudou tak velké. Ukládejte si zálohy dat na dálku, jinak je může také zablokovat virus.

Situaci nadále sledujeme, jak se vyvíjí. Přihlaste se k odběru našich stránek na sociálních sítích VKontakte, Odnoklassniki, Facebook a Twitter, abyste byli informováni o novinkách.