Вход | Регистрация

Информационные технологии :: Администрирование

Эпидемия нового шифровальщика - Bad Rabbit

↓ [XLife, 25.10.17 - 07:45]
Эпидемия нового шифровальщика - Bad Rabbit
Я
   Looking
 
25.10.17 - 07:21
Новая атака, обезопасьтесь

https://rg.ru/2017/10/24/laboratoriia-kasperskogo-dala-rekomendacii-po-zashchite-ot-novogo-virusa.html
"Следует сделать резервное копирование и заблокировать исполнение файла c:\windows\infpub.dat, C:\Windows\cscc.dat, а также запретить использование сервиса WMI.
Пользователям защитных решений "Лаборатории Касперского" компания посоветовала включить компоненты Kaspersky Security Network и System Watcher."

"В "Лаборатории Касперского" заявили о начале третьей эпидемии вирусов-шифровальщиков. Имя нового вируса - Bad Rabbit. Это указано "на странице в даркнете, на которую его создатели отправляют за выяснением деталей", - сообщает ТАСС со ссылкой на заявление "Лаборатории Касперского"."

https://rg.ru/2017/10/24/hakery-slomali-dva-krupnyh-rossijskih-sajta.html
"Сайты информационного агентства "Интерфакс" и онлайн-издания "Фонтанка" подверглись массированной хакерской атаке, которая вывела их из строя. В настоящее время оба ресурса при попытке открыть главную страницу выводят сообщение об ошибке."
 
 
   Looking
 
1 - 25.10.17 - 07:24
https://www.kommersant.ru/doc/3448722
"Компания в сфере расследований киберпреступлений Group-IB определила доменное имя, откуда началось распространение вируса-шифровальщика Bad Rabbit. Об этом сообщил ТАСС генеральный директор и основной владелец компании Илья Сачков.
«Мы определили доменное имя, с которого началось распространение вируса, и с этим доменным именем и IP-адресом связаны еще пять ресурсов»,— сказал он. В Group-IB полагают, что злоумышленники, использовавшие для атаки Bad Rabbit, могли быть связаны с продажей трафика или привлекли группу из этой сферы.
Напомним, распространение Bad Rabbit, требующего выкуп в эквиваленте 16 тыс. руб., стало уже третьим подобным инцидентом в 2017 году. На этот раз, по оценке «Лаборатории Касперского», основная часть зараженных компьютеров находится в России, но атаки отмечались и на Украине, в Германии и Турции."
   Looking
 
2 - 25.10.17 - 07:30
https://habrahabr.ru/company/eset/blog/340890/
"От атаки шифратора Diskcoder.D (Bad Rabbit), начавшейся 24 октября, пострадали компании России и Украины, включая Киевский метрополитен. Собрали в посте первые результаты исследования вредоносной программы.
Атака drive-by download с помощью watering hole на популярных сайтах
Один из способов распространения Bad Rabbit – атака drive-by download. Атакующие скомпрометировали несколько популярных сайтов, внедрив JavaScript в код HTML или один из файлов .js.
Скрипт передает следующую информацию на 185.149.120[.]3, связь с которым, похоже, на данный момент отсутствует:
User-agent браузера
Referrer
Куки с посещенного сайта
Имя домена посещенного сайта
Логика на стороне сервера может определить, интересен ли посетитель, а затем добавить на страницу контент. В этом случае мы наблюдали всплывающее окно с предложением загрузить обновление для Flash Player.
По клику на кнопку Install запускается загрузка исполняемого файла с 1dnscontrol[.]com. Исполняемый файл install_flash_player.exe является дроппером Win32/Filecoder.D. Далее компьютер будет заблокирован, на экране появится сообщение о выкупе.
Распространение через SMB
Win32/Diskcoder.D может распространяться через SMB. Вопреки некоторым сообщениям в СМИ, он НЕ ИСПОЛЬЗУЕТ эксплойт EthernalBlue (как это делал Win32/Diskcoder.C – он же Petya/NotPetya). В отличие от предшественника, Diskcoder.D сканирует внутреннюю сеть на предмет открытых сетевых дисков/ресурсов. Он ищет следующие сетевые шары:
admin
atsvc
browser
eventlog
lsarpc
netlogon
ntsvcs
spoolss
samr
srvsvc
scerpc
svcctl
wkssvc
На зараженной машине запускается Mimikatz для сбора учетных данных. Предусмотрен жестко закодированный список логинов и паролей.
После обнаружения действительных учетных данных файл infpub.dat будет загружен в каталог Windows и выполнен с помощью SCManager и rundll.exe.
Шифрование
Win32/Diskcoder.D – модифицированная версия Win32/Diskcoder.C, известного по прошлой эпидемии Petya/NotPetya. Исправлены ошибки в шифровании файлов. Для шифрования теперь используется DiskCryptor, легитимное ПО с открытым исходным кодом, предназначенное для шифрования логических дисков, внешних USB-накопителей и образов CD/DVD, а также загрузочных системных разделов диска. Ключи генерируются с использованием CryptGenRandom и затем будут защищены жестко закодированным открытым ключом RSA 2048.
Файлы зашифрованы с расширением .encrypted. Как и прежде, используется алгоритм AES-128-CBC.
Распространение

Интересно, что по данным телеметрии ESET на долю Украины приходится 12,2% обнаружений компонента дроппера. Статистика ниже:

Россия – 65%
Украина – 12,2%
Болгария – 10,2%
Турция – 6,4%
Япония – 3,8%
другие – 2,4%
Статистика в значительной степени соответствует географическому распределению скомпрометированных сайтов, содержащих вредоносный JavaScript. При этом Украина пострадала сильнее, чем остальные страны (кроме России).
Отметим, что крупные компании были поражены примерно в одно время. Возможно, у кибергруппы был доступ в их сети, и в то же время она начала атаку watering hole в качестве приманки. Не факт, что все жертвы попались на упомянутое обновление Flash Player. В любом случае, мы продолжаем расследование инцидента."
   Looking
 
3 - 25.10.17 - 07:31
Ну и собственно
https://habrahabr.ru/company/eset/blog/340890/
Список скомпрометированных сайтов:

hxxp://argumentiru[.]com
hxxp://http://www.fontanka[.]ru
hxxp://grupovo[.]bg
hxxp://http://www.sinematurk[.]com
hxxp://http://www.aica.co[.]jp
hxxp://spbvoditel[.]ru
hxxp://argumenti[.]ru
hxxp://http://www.mediaport[.]ua
hxxp://blog.fontanka[.]ru
hxxp://an-crimea[.]ru
hxxp://http://www.t.ks[.]ua
hxxp://most-dnepr[.]info
hxxp://osvitaportal.com[.]ua
hxxp://http://www.otbrana[.]com
hxxp://calendar.fontanka[.]ru
hxxp://http://www.grupovo[.]bg
hxxp://http://www.pensionhotel[.]cz
hxxp://http://www.online812[.]ru
hxxp://http://www.imer[.]ro
hxxp://novayagazeta.spb[.]ru
hxxp://i24.com[.]ua
hxxp://bg.pensionhotel[.]com
hxxp://ankerch-crimea[.]ru

Атакующие скомпрометировали несколько популярных сайтов, внедрив JavaScript в код HTML или один из файлов .js.
   XLife
 
4 - 25.10.17 - 07:45
держи нас в курсе...
   Looking
 
5 - 25.10.17 - 07:54
(4)Вы уже заблокировали исполнение файлов c:\windows\infpub.dat, C:\Windows\cscc.dat, запретили использование сервиса WMI ?
   igorPetrov
 
6 - 25.10.17 - 07:59
(5) Продолжайте репортаж.  Правда не интересно.
   Looking
 
7 - 25.10.17 - 08:03
http://ren.tv/novosti/2017-10-25/nayden-sposob-zashchity-ot-virusa-shifrovalshchika-bad-rabbit
"Эксперты в области кибербезопасности компании Group-IB при помощи несложной последовательности манипуляций предложили пользователям действенный способ защиты от вируса-шифровальщика BadRabbit. Об этом компания Group-IB сообщила в своем Telegram-канале.
Специалисты советуют пользователям ПК под управлением операционных систем Windows создать файл C:\windows\infpub.dat, которому необходимо предоставить права "только для чтения".
При этом, если "плохой кролик" попадет на компьютер, то так и не сумеет зашифровать файлы."
   Builder
 
8 - 25.10.17 - 09:55
(7) Либо еще те специалисты, либо вирусописатели что то напутали.
Ибо у обычных доменных пользователей в принципе нет прав что то писать в папку windows. Да и вирусам это не надо, могут запуститься из любого места.
   Looking
 
9 - 25.10.17 - 09:58
(8)от Касперского близкие рекомендации
https://forum.kaspersky.com/index.php?/topic/381363-kes-и-bad-rabbit/
"Для Kaspersky Endpoint Security можно использовать инструкции из статьи https://support.kaspersky.ru/general/products/13753#block1 В пункте 7 указать файлы: С:\windows\infpub.dat C:\Windows\cscc.dat"
   Looking
 
10 - 25.10.17 - 09:59
(8)"у обычных доменных пользователей"

почему именно доменных, у локальных тоже ведь аналогичное ограничение есть
 
 Рекламное место пустует
   Builder
 
11 - 25.10.17 - 10:51
(10) Есть конечно, но кто дома себя специально ограничивает?
   Looking
 
12 - 25.10.17 - 12:03
(11)во много мелких конторах нет доменов
   Mihenius
 
13 - 25.10.17 - 16:20
Методы защиты от mimikatz в домене Windows

http://winitpro.ru/index.php/2017/08/24/metody-zashhity-ot-mimikatz-v-domene-windows/

Блокировка вирусов и шифровальщиков с помощью Software Restriction Policies

http://winitpro.ru/index.php/2016/10/21/blokirovka-virusov-i-shifrovalshhikov-s-pomoshhyu-software-restriction-policies/

Защита административных учетных записей в сети Windows

http://winitpro.ru/index.php/2017/09/22/zashhita-administrativnyx-uchetnyx-zapisej-v-seti-windows/

Еще раз о том, как не сделать из своей сети «решето»
https://habrahabr.ru/post/283482/
   Mihenius
 
14 - 25.10.17 - 16:21
Ну и бэкапы безусловно.
   Looking
 
15 - 26.10.17 - 10:23
(13)спасибо!

Список тем форума
Рекламное место пустует  Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Тема не обновлялась длительное время, и была помечена как архивная. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.
Рекламное место пустует