Bad Rabbit
Bad Rabbit (рус. «Плохой кролик») — вирус-шифровальщик, разработанный для ОС семейства Windows и обнаруженный 24 октября 2017 года[1]. По предположениям аналитиков, программа имеет сходство отдельных фрагментов с вирусом NotPetya.
Bad Rabbit | |
---|---|
Файл:59ef6c3afc7e933b0c8b456b.jpg | |
Тип | Вирус-вымогатель, сетевой червь |
Год появления |
24 октября 2017 (начало массовой атаки) |
Описание Symantec | |
Описание Securelist |
По оценке Symantec вирус имеет низкий уровень угрозы[2]. 25 октября серверы, обеспечивавшие начальное заражение Bad Rabbit, были остановлены[3].
История
24 октября 2017 года, вирус шифровальщик атаковал ряд российских СМИ, включая ИА «Интерфакс» и интернет-газету «Фонтанка», а также киевское метро и аэропорт Одесса, требуя за разблокировку одного компьютера 0,05 биткойнов (около 16 тысяч рублей) в течение 48 часов[4][5][6]. Также, в меньшей степени, атаке подверглись Турция и Германия[7][8]. Восстановление работы сайта и компьютеров «Интерфакса» заняло более суток[9][10]. Тогда же, в вирусе были найдены отсылки к фэнтази-саге «Игра престолов», а именно имена трех драконов — Дрогона, Рейгаля и Визериона[11][12][13][14].
Метод атаки
Для первоначальной установки Вирус не использует каких-либо эксплойтов или уязвимостей: инсталлятор вируса, маскирующийся под установку обновления для Adobe Flash Player, должен быть скачан и запущен вручную пользователем, он запрашивает подтверждение повышения полномочий посредством UAC Windows[15].
После установки приложение регистрируется в штатном механизме планирования заданий и начинает самостоятельное распространение по локальной сети через удаленные подключения SMB и WMIC при помощи перехвата токенов и паролей утилитой Mimikatz и перебора паролей NTLM на удаленных узлах Windows для ряда распространенных имен пользователей[15]. По данным Cisco Talos, компонент распространения вируса дополнительно использует технологии и коды АНБ «EternalRomance», которые ранее были опубликованы группой Shadowbrokers (ошибка в кодах SMB, исправлена Microsoft в марте 2017)[16][17].
Приложение производит шифрование файлов по алгоритмам AES-128-CBC и RSA-2048[1].
В нарушение лицензии GPLv3 приложение Bad Rabbit пользуется кодами и драйвером из проекта DiskCryptor[15][18][19], но при этом не публикует изменённых исходных кодов и не запрашивает у пользователя согласия на использование лицензии GPLv3.
Примечания
- Орхан Мамедов, Федор Синицын, Антон Иванов. Шифровальщик Bad Rabbit . Лаборатория Касперского (25 октября 2017). Дата обращения: 27 октября 2017.
- Benjamin Moench Ransom.BadRabbit. Technical Details / Symantec Security Response
- Lorenzo Franceschi-Bicchierai. Infrastructure for the ‘Bad Rabbit’ Ransomware Appears to Have Shut Down (англ.), Vice (Oct 25 2017). Дата обращения 27 октября 2017.
- Group-IB: вирус-шифровальщик Bad Rabbit атаковал российские СМИ . ТАСС (24 октября 2017). Дата обращения: 26 октября 2017.
- Иван Гусев. Россию атаковал новый вирус-вымогатель "Плохой кролик" . Life (24 октября 2017). Дата обращения: 26 октября 2017.
- Полина Духанова. «Не самые грамотные хакеры»: что стоит за кибератаками на российские СМИ . RT (24 октября 2017). Дата обращения: 26 октября 2017.
- Алексей Шароглазов. Названы жертвы атаки вируса-шифровальщика Bad Rabbit . Известия (24 октября 2017). Дата обращения: 26 октября 2017.
- Вирус-вымогатель атаковал жертв через сайты СМИ . Вести.net (25 октября 2017). Дата обращения: 28 декабря 2017.
- Кристина Жукова. Восстановлена работа пострадавших от вируса Bad Rabbit СМИ . Коммерсантъ (25 октября 2017). Дата обращения: 26 октября 2017.
- 'Bad Rabbit' ransomware strikes Ukraine and Russia (англ.). BBC News (26 октября 2017). Дата обращения: 27 октября 2017.
- Эксперты раскрыли связь между вирусом Bad Rabbit и «Игрой престолов» . Лента.ру (25 октября 2017). Дата обращения: 26 октября 2017.
- Роман Босиков. Эксперты обнаружили связь между вирусом Bad Rabbit и "Игрой престолов" . Life (25 октября 2017). Дата обращения: 26 октября 2017.
- В вирусе «Bad Rabbit», поразившем российские СМИ, эксперты нашли отсылки к «Игре престолов» . Пятый канал (26 октября 2017). Дата обращения: 26 октября 2017.
- Вирус-шифровальщик Bad Rabbit создан фанатами «Игры престолов» . CHIP (26 октября 2017). Дата обращения: 26 октября 2017.
- Как работает шифровальщик Bad Rabbit, и есть ли здесь связь с NotPetya
- NICK BIASINI. Threat Spotlight: Follow the Bad Rabbit (англ.). Talos Intelligence (OCTOBER 24, 2017). Дата обращения: 27 октября 2017.
- SEAN GALLAGHER. Bad Rabbit used NSA “EternalRomance” exploit to spread, researchers say (англ.), ARS Technica (OCT 26, 2017). Дата обращения 27 октября 2017.
- New wave of data-encrypting malware hits Russia and Ukraine (англ.)
- Kevin Beaumont в Твиттере: «#BadRabbit uses a legit, signed program called DiskCryptor to lock out the victim hard drive.… »