Хроники BadRabbit — шифровальщика, охватившего Россию и Украину

Как защититься от вируса, который парализовал работу многих пользователей и учреждений? Зачем был позаимствован код NotPetya и сделаны отсылки к Игре престолов?

На это неделе мир охватила очередная киберэпидемия. Новый вирус-шифровальщик BadRabbit начал свое распространение через сайты российских СМИ. Программа-вымогатель требует выкуп в размере 0,55 биткойна (около 16 тысяч рублей).

Несмотря на небольшое сходство исходных кодов BadRabbit и известного шифровальщика NotPetya, вирусу не удалось заразить столь большое количество устройств, как во время эпидемии Petya и WannaCry. Тем не менее ему удалось поразить устройства Мининфраструктуры Украины, киевского метрополитена, одесского аэропорта, а также большое количество пользователей.

Согласно данным лаборатории онлайн-угроз Avast, с атаками столкнулись жители 15 стран. Более всего пострадали Россия (на ее территории нами было зафиксировано 71% всего попыток атак), Украина — 14%, а также Болгария — 8%.

e-zDpFCRBTIBJFi266FEmyQpT6DDxKoMQZwDrQBtMhbsixA0dOR-Nx_8xIVgxpufIgccC_2T0h6pWU36bPSYurkvKFM2Xi5fv0_EyV_lCJKIMUevL_aeMqV30qi9jRob1sghFUm0

Каким образом распространяется вирус BadRabbit?

На этот раз вирус распространялся под видом обновлений, которым можно доверять.

Злоумышленники скомпрометировали информационные системы агентства Интерфакс и сервер новостного портала Фонтанка, внедрив в них вредоносный скрипт. При посещении сайтов скрипт вызывал всплывающее окно с предложением установить поддельное обновление Adobe Flash. В случае, если пользователь соглашался, на компьютер скачивался исполняемый вредоносный файл, который запускал вирус.

После заражения программа-вымогатель через протокол SMB пытается перекинуться на другие компьютеры, находящиеся в одной сети с зараженным устройством. Для распространения она имеет список дефолтных логинов и паролей, а также использует утилиту Mimikatz для извлечения учетных данных из системы. В отличие от WannaCry и NotPetya, новый вирус не использует эксплойт EternalBlue для массового заражения сети устройств.

Mimikatz использует системный Сервис проверки подлинности локальной системы безопасности (LSASS, Local Security Authority Subsystem Service), который хранит хэши и пароли, используемые при различных сеансах аутентификаций. Например, для того, чтобы получить доступ к общей папке, которая хранится на другом компьютере в сети. Для этого необходимо ввести имя пользователя и пароль, которые и сохраняются в LSASS, чтобы не вводить эти данные повторно во время активной сессии.

Утилита сканирует память LSASS для поиска данных для входа и их выгрузки. Затем они используются злоумышленниками, чтобы получить доступ к общим удаленным папкам для их последующего шифрования и распространения на другие устройства в локальной сети.

В Windows 8.1 и выше существует возможность защиты Mimikatz путем запуска LSASS в защищенном режиме, но, к сожалению, эта опция по умолчанию отключена.

Как происходит шифрование файлов вирусом BadRabbit?

Злоумышленники не стали изобретать велосипед и использовали часть исходного кода шифровальщика NotPetya, исправив ошибки и адаптировав его для новых задач.

Вымогатель BadRabbit шифрует как диск, так и файлы на зараженном устройстве. Первым делом, шифруются файлы с помощью встроенного в Windows криптографического API (Crypto-API). Одновременно с этим устанавливается легальная программа DiskCryptor, которая перезагружает систему и начинает выполнять шифрование диска.

Во время этого вирус создает новую службу под именем "cscc". А, в случае сбоя, используется существующая служба файловой системы для CD-ROM ("cdfs").

Стоит отметить, что оригинальные файлы шифруются в их исходном местоположении, что значительно снижает вероятность их восстановления без ключа дешифровки. Но, в отличие от NotPetya, здесь хотя бы предусмотрено создание этого ключа, а значит, у жертвы будет возможность восстановления доступа к файлам.

Некоторые другие программы-вымогатели работают по другому. Они шифруют данные в новые файлы, удаляя исходные. Но и в этом случае, как и при обычном удалении, существует возможность их восстановления.

Доступ к файлам блокируется с помощью алгоритма шифрования AES-128, который невозможно взломать с помощью прямого перебора (брутфорса). 33-байтовый ключ шифрования создается с помощью CryptGenRandom — функции криптографически стойкого генератора случайных чисел — и хэшируется с помощью алгоритма MD5.

Программа-вымогатель усложняет строчки кода, чтобы обмануть антивирусные синтаксические анализаторы, и, также как и вирус Locky, содержит отсылки к «Игре престолов» (в коде можно обнаружить имена драконов).

Несмотря на уловки, антивирус Avast определяет BadRabbit как Win32:Malware-gen, защищая от вируса всех наших пользователей.

Как защититься от BadRabbit?

Если вы обладаете правами администратора и в системе есть файл C:\Windows\cscc.dat, то вирус не сможет запуститься на компьютере. В противном случае, откройте блокнот и создаете файл с именем cscc.dat и переместите его в папку Windows на диске C.

В случае, если заражения избежать не удалось, мы не рекомендуем платить выкуп. Не факт, что вам вышлют ключ для возврата доступа к файлам. А благодаря полученным средствам злоумышленники получат возможность создавать и распространять другие вирусы-вымогатели с целью нового заработка.

Чтобы не стать жертвой программ-вымогателей мы рекомендуем:

1. Установить качественное антивирусное решение на все ваши устройства (в том числе мобильные).

Экран поведения антивируса Avast анализирует нетипичное поведение всех программ на предмет скрытого вредоносного кода. А функция CyberCapture способна обнаруживать еще новые неизвестные киберугрозы.

2. Регулярно устанавливать программные обновления. Новые версии часто содержат патчи безопасности.

Конечно, в случае с BadRabbit пользователей поймали именно на этом. Поэтому всегда устанавливайте обновления только у официальных производителей софта и дистрибьюторов.

3. Соблюдать осторожность. Не открывать подозрительные вложения электронной почты и ссылки в интернете.

Что может быть страшного в открытии текстового документа Word или таблицы в Excel? Вредоносные файлы могут включать макросы, которые позволяют загружать на компьютер вирусы.

Распространители программ-вымогателей часто используют методы социальной инженерии, чтобы обманом заставлять людей скачивать вирусы.

4. Регулярно выполнять резервное копирование своих данных, и делать это правильно.

Если у вас будет возможность восстановить данные из резервных копий, ущерб от шифрования окажется не столь велик. Храните резервные копии данных удаленно, иначе они могут также быть заблокированы вирусом.

Мы продолжаем следить за развитием ситуации. Подписывайтесь на наши страницы в социальных сетях ВКонтакте, Одноклассники, Facebook и Twitter, чтобы быть в курсе новостей. 

--> -->