Во вторник вечером, 24 октября, обнаружена очередная волна заражений вредоносным ПО. Новый вирус-шифровальщик уже прозвали Bad Rabbit, он блокирует устройства и требует выкуп в размере 0,05 биткоина (около $283 по текущему курсу).
О кибератаке сообщили несколько российских СМИ, в том числе новостное агентство «Интерфакс», чьи сервера были выведены из строя.
Из-за хакерской атаки в работе серверов Интерфакса возник сбой. Технические службы предпринимают все меры для восстановления работы систем.— Интерфакс (@interfax_news) 24 октября 2017 г.
В соседней Украине атаке подверглись Киевский метрополитен, аэропорт «Одесса», а также Министерство инфраструктуры. Был ли это тот же самый вирус, пока не сообщается.
По данным компании ESET, в атаке на Киевский метрополитен использовалось вредоносное ПО Diskcoder.D — новая модификация шифратора, известного как Petya.В. Исследование «Лаборатории Касперского» выявило, что Bad Rabbit поражает компьютеры преимущественно в Восточной Европе. Вирус ориентирован на правительственные и корпоративные сети. Bad Rabbit использует методы заражения, аналогичные шифровальщику NotPetya (Petya.A). Но есть и свой способ, например, через атакованные сайты вирус предлагает пользователям обновить Adobe Flash Player и таким образом проникает на компьютер.
Предварительный анализ показал, что вредоносное ПО использует программу DiskCryptor для шифрования жестких дисков, в частности был обнаружен файл dispci.exe. Также, как и NotPetya, Bad Rabbit распространяется на другие компьютеры под управлением ОС Windows, находящиеся в одной и той же локальной сети. Кроме того, он использует встроенные средства администрирования для сбора данных зараженных машин.
На текущий момент, основная волна заражений вирусом-шифровальщиком Bad Rabbit приостановлена. По данным компании Group-IB, домен, через который распространялся вирус, перестал отвечать.
Microsoft опубликовала рекомендации по защите от нового вируса. В первую очередь, необходимо проверить в планировщике задач наличие запланированных событий «drogon» и «rhaegel». Если таковые имеются — предотвратить принудительную перезагрузку и сразу же запустить проверку антивирусом. Встроенная антивирусная утилита Windows Defender версии 1.255.29.0 и выше обнаруживает и удаляет эту угрозу.
