Новая кибератака с участием вируса-шифровальщика «Bad Rabbit»

Автор:

Вчера российские СМИ, государственные учреждения Украины и некоторые компании Европы подверглись целенаправленной атаке нового вируса-шифровальщика «Bad Rabbit». По данным антивирусной лаборатории компании ESET, новый вирус Diskcoder.D является модификацией известного вируса Petya.

Но если WannaCry и Petya в ходе предыдущей массовой кибератаки проникали на компьютер с помощью уязвимости в операционной системе Windows, то в этот раз схема распространения несколько изменилась. Сообщается, что Bad Rabbit заражает компьютеры с помощью фальшивого файла обновления Flash Player. Как и ранее, за расшифровку файлов требуют выкуп в размере 0,05 биткоина, то есть примерно 16 200 рублей при текущем курсе биткоина.

Ключи генерируются с использованием CryptGenRandom и защищены жестко закодированным открытым ключом RSA 2048. Файлы зашифрованы с расширением .encrypted. Как и прежде, используется алгоритм AES-128-CBC.

Для распространения вируса злоумышленники скомпрометировали популярные сайты, внедрив в них вредоносный jаvascript. Как только пользователь заходит на такой сайт, информация об устройстве отправляется на удалённый сервер, где определяется, представляет ли посетитель интерес для злоумышленников. Если да, то на сайте появляется дополнительный контент, в частности всплывающее окно с предложением установить обновление Flash Player. После заражения вирус распространяется внутри корпоративной сети организации по протоколу SMB.