BadRabbit, WannaCry, NotPetya: цель кибер атак, и как от них защититься

GroupIB – компания занимающаяся мониторингом подобных ситуаций и их расследованием. Именно ее специалисты зафиксировали активность нового вируса в отношении крупнейших банков. И, если смысл в атаке на банки еще можно понять, то для чего хакерам понадобились СМИ, которые в принципе не обладают мощными защитными программами, не понятен. Пока что более подробную информацию в GroupIB не раскрывают, ссылаясь на тайну расследования, а также на то, что они обладают информацией о стоящих системах защиты в российских банках. Следовательно, ее раскрытие будет означать фактическую передачу данных киберпреступникам о имеющихся уязвимостях.

По предварительным данным специалистов по кибербезопасности известно, что вирусные атаки происходили 24 октября в короткий период с 13.00 до 15.00 по Московскому времени. Единственное, о чем можно заявить с полной уверенностью, то что банки подготовлены к таким акциям гораздо лучше, чем любая другая организация небанковского сектора. Есть предположение, что за атаками на систему безопасности банков и СМИ стоят одни и те же хакеры, ответственные за июньские вирусные бомбардировки шифровальщиком NotPetya. На это, следует отметить, указывает пока что лишь некоторые совпадения в структуре написания кода к вирусу. Неопровержимых прямых доказательств пока что добыть не удалось. Под удар BadRabbit попали такие издания как «Известия», петербургская «Фонтанка», украинское министерство инфраструктуры, метрополитен в Киеве и Международный аэропорт «Одесса». Возможно, тем самым хакеры попытались продемонстрировать свою силу и показать, что могут атаковать любой объект, независимо от страны. Летняя же акция преимущественно затронула Украину. Между тем, хакеры требуют денежное вознаграждение, за предоставление ключей к дешифровке зараженных вирусом-шифровальщиком файлов. Сумма, на первый взгляд, не такая и большая по 0,05 биткоина за каждый файл, но, реальное число зараженных файлов пока что не подсчитано, возможно раскошеливаться придется на достаточно круглую сумму. Или же специалисты GroupIB своими силами смогут разобраться с угрозой.

Профессиональную оценку происходящему дали и в «Лаборатории Касперского». «По нашим данным в этот раз пострадали преимущественно корпоративные сети в России, но есть достоверная информация о том, что атакам подверглись также ряд объектов в Украине, Германии и Турции. Если говорить о используемой методике, то да, на первый взгляд прослеживается аналогия с тем же ExPetr, но реальными доказательствами, пока что, никто не обладает. Пользователям, которые используют наши продукты могу сказать то, что вредоносные файлы с успехом обнаруживаются защитным ПО и имеют кодировку UDS:DangerousObject.Multi.Generic», - сообщили в пресс-службе «Лаборатории Касперского».

Как защитить свой компьютер?

Специалисты из «Лаборатории Касперского», в том случае, если на компьютере установлено их программное обеспечение, говорят о необходимости активации функции KSN, а также специального модуля «Мониторинг системы». Если же антивирусные программы используются от другого производителя, то обезопасить себя можно при помощи средств администрирования. Для этого в операционной системе Windows необходимо запретить исполнение файлов двух типов: infpub.dat и cscc.dat. Оба файла запускаются из папки C:\Windows.

В компании GroupIB предлагают вовсе действовать на опережение. Для этого в системной папке Windows необходимо самому создать файлы inpub.dat и cscc.dat, далее используя правую клавишу мыши, выбрать пункт «свойства» и задать каждому файлу ограничение «Только для чтения». Подобные действия, даже если вирус проникнет в персональный компьютер не позволят зашифровать указанные файлы, а кроме них BadRabbit ничего не атакует. Второй шаг, это оперативное вычисление компьютера, который уже был подвержен атаке, причем удачной атаке, то есть файлы били заражены и зашифрованы. Механизм работы вируса далее занимается рассылкой таких файлов по сети, заражая другие компьютеры. После этого необходимо восстановить системные файлы до ранее сделанной рабочей резервной копии, в которой содержатся файлы в изначальном виде.

После последовательного выполнения выше описанных действий следует произвести обновление операционной системы и системы безопасности компьютера. Особое внимание следует уделить тому, какие IP-адреса и\или доменные имена были обозначены антивирусом как подозрительные и заблокировать их. Скорее всего заражение пришло именно оттуда. По окончании обновлений следует поменять все ранее использовавшиеся пароли, будь то системные, пароли от почты, часто посещаемых сайтов и так далее. В браузерах обязательно запретить хранение введенных на страницах сайтов пароли, так как для злоумышленников они являются легкой добычей.

Кто создает ExPetr, WannaCry, NotPetya и BadRabbit?

За текущий 2017 год массовая вирусная атака является не первой. Ранее много шума наделали предшественники BadRabbit, а именно вирус-шифровальщик WannaCry, который сумел заразить более 200 тысяч компьютеров по всему миру. Следующим был ExPetr, также доставивший массу хлопот и Petya, в последствии переименованный в NotPetya. Теперь же хакеры «порадовали» новым творением – BadRabbit. По сути, это модифицированная и усовершенствованная версия предыдущего «Пети». Об этом говорят специалисты из у\компании по борьбе с киберпреступлениями GroupIB. Об этом свидетельствуют первые данные об исследовании структуры кода, программисты утверждают, что создателями были учтены допущенные ранее ошибки и новый код является более сложным и совершенным. Но, с уверенностью заявлять о том, что за атаками стоят те же люди пока что преждевременно. Также нет открытой информации о том, что какая-либо из хакерских группировок взяла на себя ответственность за акцию.

Обычные пользователи подверглись заражению при посещении уже взломанных хакерами сайтов. Злоумышленники использовали исходный код HTML-страницы взломанного ресурса с целью внедрения в него собственного скрипта – JavaScriptInject. В последствии пользователю под видом обновления для Flash-плеера, предлагалось скачать файл, который ничем не отличался от оригинала - install_flash_player.exe. И после его запуска система заражалась вирусом, так как многие антивирусные программы не распознавали «подвох», считая, что файл является оригинальным. Специалисты же отмечают, что для полного расследования с определением виновников сил только антивирусных компаний не хватит, необходима поддержка профильных государственных структур.