Wirus Bad Rabbit atakuje komputery w Europie Wschodniej, blokując dostęp do systemu. W czwartek Amit Serper, ekspert zajmujący się cyberbezpieczeństwem ogłosił, że odkrył sposób na zabezpieczenie się przed szkodliwym programem.
Jak informowaliśmy w środę, Bad Rabbit infekuje komputery użytkowników głównie na Ukrainie i w Rosji, a także w Niemczech i w Turcji. Na razie nie jest znana skala ataku.
Wirus szyfruje zawartość dysku twardego i uniemożliwia dostęp do danych. Za przywrócenie funkcjonalności sprzętu hakerzy żądają pieniędzy. Sposób jego działania przypomina niedawny atak wirusa Petya. Według ekspertów oba programy różni jednak sposób szyfrowania danych.
Bad Rabbit – nowy ransomware
Specjaliści od cyberbezpieczeństwa odkryli sposób, który może pomóc ustrzec się przed nowym wirusem. Wymaga to utworzenia dwóch plików w katalogu, w którym zainstalowany jest system Windows. Muszą one nosić nazwy infpub.dat oraz cscc.dat. Następnie należy w opcjach usunąć im wszelkie pozwolenia do dokonywania zmian na komputerze. Szczegółowa instrukcja na zabezpieczenie się przed wirusem Bad Rabbit jest dostępna na stronie Cybereason.
Jak rozprzestrzenia się Bad Rabbit
Tymczasem specjalistom z firmy Trend Micro udało się rozszyfrować sposób, w jaki rozprzestrzenia się wirus Bad Rabbit. Wykorzystywany jest do tego fałszywy instalator programu Flash.
Jak piszą eksperci Trend Micro, na zainfekowanych stronach internetowych umieszczany jest skrypt zawierający adres URL rozpoznawany jako hxxp://1dnscontrol[.]com/flash_install. Jego kliknięcie powoduje zainstalowanie dwóch plików z narzędziami do szyfrowania i deszyfrowania. Do wykonywania procedury wykorzystywane są trzy pliki .job, które noszą imiona smoków z popularnego serialu „Gra o tron”: Rhaegal, Drogon i Viserion. Są one uruchamiane po kolei i powodują zablokowanie komputera oraz zaszyfrowanie dysku.
“Należy zaznaczyć, że Bad Rabbit nie wykorzystuje żadnych luk w zabezpieczeniach (w odróżnieniu od oprogramowania Petya, które w ramach wykonywanej procedury wykorzystywało lukę EternalBlue)” – piszą eksperci Trend Micro.
Aktualizacja 27.10.2017 godz. 10.00 (dodano informację o sposobie rozprzestrzeniania się wirusa)
Cybereason/Trend Micro/BiznesAlert.pl