Новый вирус-шифровальщик Bad Rabbit атаковал сразу несколько российских СМИ и украинских госучреждений. Об этом сообщает Group-IB.
Эксперты организации уверены, что это новая эпидемия, как было с WannaCry.
Как работает вирус
Специалист ESET Иржи Кропак сообщил, что вирус распространяется через фейковый файл обновлений для Adobe Flash.
В качестве доказательства он выложил в своем Twitter скриншот с российского сайта «Суть событий», который предлагает скачать такой файл.
#ESET confirms Discoder/#Petya/#BadRabbit campaign live today, incorporating #Mimikatz distribuded via fake flash. More info soon. pic.twitter.com/lUpkmdG2ox
— Jiri Kropac (@jiriatvirlab) October 24, 2017
Bad Rabbit блокирует компьютер жертвы и требует выкуп в размере 0,05 биткоина (или $283). Для разблокировки обязательно нужно посетить сайт в сети Tor.
После этого запускается автоматический счётчик времени. По его истечению вся зашифрованная информация должна якобы удалиться.
По предварительным данным, пострадали только пользователи Windows, macOS это не затронуло.
ПО «Лаборатории Касперского» детектирует один из компонентов зловреда с помощью облачного сервиса как , а также с помощью как .
Кто пострадал
Вирус атаковал аэропорт «Одесса», сети магазинов, СМИ и телекоммуникационные компании, киевский метрополитен, украинское министерство инфраструктуры.
В России пострадали как минимум три СМИ, отмечают в Group-IB, не раскрывая названия изданий. На момент написания статьи стало известно о двух жертвах — изданиях и .
Лечение
На данный момент нет никакой информации о методах «лечения» заражённых ПК. Возможно, подойдут следующие рекомендации:
- Убедитесь, что включили решения безопасности, включая антивирусы и файрволлы
- Не устанавливайте никаких обновлений Adobe Flash, тем более предлагаемых в браузерах
- Заблокируйте исполнение файла c:windowsinfpub.dat, C:Windowscscc.dat
- Запретите (если это возможно) использование сервиса WMI
Когда станет известно немного больше, мы обновим статью.
Источник: