Мы уже писали вчера об атаке на украинские сети со стороны хакеров. Но в то же время в России действовал новый вирус-шифровальщик BadRabbit (Diskcoder.D), который был нацелен на средства массовой информации, компании и рядовых пользователей. Первые выводы от «Лаборатории Касперского» уже доступны.

Итак, по данным экспертов, вирус направлен, в первую очередь, на корпоративные сети. Он шифрует данные, как и Petya.A, и требует 0,05 биткойна – примерно $280.

Эксперты вирусной лаборатории ESET сообщают, в свою очередь, что под атакой оказались СМИ, транспортные компании и государственные учреждения.

Система телеметрии ESET в настоящее время фиксирует сотни атак Diskcoder.D. Большинство срабатываний антивирусных продуктов ESET приходится на Россию и Украину, затронуты также Турция, Болгария и некоторые другие страны

ESET

В «Лаборатории Касперского» уже предположили, что атака BadRabbit может быть связана с атакой ExPetr (она же Petya или NotPetya), которая вывела из строя порядка 12,5 тысяч компьютеров в Украине, также задела Россию и некоторые другие страны. Приной для такого вывода стал анализ кода, в котором выявили части из NotPetya. В частности заявляется, что BadRabbit является модифицированной версией NotPetya с исправленными ошибками в алгоритме шифрования. Однако модель распространения его была иной – через HTML-код на веб-сайтах. Он загружал JavaScript-инжект, который демонстрировал посетителям поддельное окно, предлагающее установить обновление плеера Adobe Flash. При попытке загрузить его происходила загрузка вируса. Отмечается, что вирус использовал программу Mimikatz, которая перехватывает на заражённой машине логины и пароли. Интересно, что в обычных условиях это вполне себе нормальная утилита для восстановления учётных данных.

Для защиты от BadRabbit эксперты рекомендуют создать файл C:\windows\infpub.dat и задать для него атрибут «только для чтения». После этого даже в случае заражения файлы не будут зашифрованы.

Одновременно в Украине СБУ смогла, как сообщается, заблокировать случаи заражения вирусом компьютеров в украинском сегменте глобальной сети.

Сотрудники Службы безопасности Украины оперативно проанализировали и блокировали новые случаи поражения компьютеров отечественного сегмента сети Интернет вредоносным программным обеспечением

СБУ

В данном случае речь идёт о вирусе-шифровальщике под названием Locky. Для его распространения использовались фишинговые электронные письма с обратным адресом, который ассоциируется со службой техподдержки компании Microsoft.

Сегодня, 24 октября, кибератаки по этой схеме, в частности, получил киевский метрополитен и одесский аэропорт, где в результате действия вируса-шифровальщика было заблокировано функционирование службы регистрации пассажиров. Сейчас дальнейшее распространение вируса прекращено, угроз безопасности движения нет

СБУ

Также пресс-служба Службы безопасности Украины опубликовала рекомендации по предотвращению несанкционированного блокирования информационных систем:

  • обеспечить ежедневное обновление системного программного обеспечения, в т.ч. ОС Windows всех без исключения версий (для Windows 10 обязательно установить обновление KB3213630);
  • заблокировать в настройках сетевой безопасности доступ к домену x90DOTim, с которого загружается вредоносное ПО (в браузере не открывать, DOT изменить на точку);
  • не открывать вложения электронной почты, в том числе форматов .doc та .rtf, поступившей от непроверенного отправителя;
  • придерживаться общих правил информационных безопасности, в частности — создавать резервные копии, своевременного обновлять антивирусное и прикладное программное обеспечение.

В ходе атаки 24 октября на некоторые объекты инфраструктуры Украины использовалась методика DDE, которая осуществляла выполнение вредоносного кода на компьютере пользователя, — отметили в специализированном структурном подразделении Государственного центра киберзащиты и противодействия киберугрозам (ГЦКЗ) Госспецсвязи. — Скрипт загружал в систему с одного из доступных на момент активации url… исполняемый файл heropad64.exe, который в свою очередь загружал на компьютер пользователя вирус-шифровальщик Locky

Госспецсвязи

В Национальной полиции Украины же заявили, что случаи заражения на данный момент не носят массовый характер, поэтому говорить о некой массовой кибератаке пока не приходится.

На данный момент в киберполицию по поводу кибератаки не обратилось ни одно государственное учреждение. Сейчас мы фиксируем лишь единичные случаи киберинцидентов

Пресс-секретарь Национальной полиции Ярослав Тракало

При этом он заявил, что если атака подтвердится, людям сообщат о способах уберечься от нее.