Киберполиция нашла в коде вируса BadRabbit отсылку к “Игре престолов”

Киберполиция нашла в коде вируса BadRabbit отсылку к “Игре престолов”

Киберполиция рассказала подробности действия вируса-шифровальщика “BadRabbit”, который использовали хакеры для масштабной кибератаки 24 октября.

Результаты предварительного анализа данных, полученных в результате работы специалистов подразделения, обнародованы на сайте Киберполиции, передает Укринформ.

“В коде “BadRabbit” были обнаружены отсылки к фэнтезийному телесериалу “Игра престолов”. Например, у запланированных задач - имена трех драконов из сериала: Drogon, Rhaegal, Viserion. Ранее похожие отсылки к популярной фэнтезийной саге были замечены мировыми экспертами в составе одного из скриптов, который использовался для распространения известного шифровальщика “Locky”, - отмечается в сообщении.

Киберполицейские также констатируют, что в коде “BadRabbit” есть дублированные и аналогичные элементы кода “Petya”/”NotPetya”.

“В отличие от “NotPetya” шифровальщик “BadRabbit” не является "вайпером", то есть у него нету цели уничтожить информацию на жестких дисках зараженных компьютеров. Специалисты отмечают, что истинной целью этой “атаки” было желание злоумышленников обогатиться, и она была осуществлена исключительно из корыстных побуждений”, - заявляют в Киберполиции.

Как информируют в пресс-службе, среди пострадавших стран Украину поразило меньше всего.

“Киберполиция отмечает, что аудитория украинских пользователей не является массовой и составляет около 12% общего количества загрузок инфицированных обновлений”, - говорится в сообщении.

Специалисты из Киберполиции установили, что ключевое отличие между “Petya”/”NotPetya” и “BadRabbit” в разных начальных векторах атаки.

“BadRabbit” для распространения в качестве основного вектора использует пораженные сайты, с которых пользователями загружалось фальшивое обновление Flash.

Киберполиция предоставляет перечень пораженных интернет-сайтов, с которых было зафиксировано распространение вируса:

hxxp://argumentiru[.]com, hxxp://www.fontanka[.]ru, hxxp://grupovo[.]bg, hxxp://www.sinematurk[.]com, hxxp://www.aica.co[.]jp, hxxp://spbvoditel[.]ru, hxxp://argumenti[.]ru, hxxp://www.mediaport[.]ua, hxxp://blog.fontanka[.]ru, hxxp://an-crimea[.]ru, hxxp://www.t.ks[.]ua, hxxp://most-dnepr[.]info, hxxp://osvitaportal.com[.]ua, hxxp://www.otbrana[.]com, hxxp://calendar.fontanka[.]ru, hxxp://www.grupovo[.]bg, hxxp://www.pensionhotel[.]cz, hxxp://www.online812[.]ru, hxxp://www.imer[.]ro, hxxp://novayagazeta.spb[.]ru, hxxp://i24.com[.]ua, hxxp://bg.pensionhotel[.]com, hxxp://ankerch-crimea[.]ru.

Факты поражения компьютеров жертв в результате открытия файлов электронных документов, отправленных по каналам e-mail от неустановленных отправителей, также имели место и проверяются.

После посещения пораженного сайта пользователю предлагается загрузить  себе на компьютер исполняемый файл-загрузчик (так называемый «дроппер»), замаскированный под обновление программного обеспечения «Adobe Flash Player». Вредоносная программа для дальнейшего срабатывания должна запускаться с правами администратора. После запуска она загружает («дроппит») и разворачивает основной модуль с названием infpub.dat в каталоге C:Windows , который в дальнейшем исполняется с помощью rundll32.exe

Кроме infpub.dat «дроппер» в тот же каталог загружает также другие элементы вируса - файлы «cscc.dat», «bootstat.dat» и «dispci.exe».

Файл «dispci.exe» в дальнейшем запускается с помощью запланированного задания операционной системы. Его функция заключается в установлении элемента вредоноса – шифровальщика загрузочной области.

В дальнейшем вредоносная программа шифрует только файлы с заданными расширениями, в том числе .doc, .docx, .xls, .xlsx. Существует предположение, что, вероятно, используется алгоритм AES в режиме CBC. После шифрования расширение файлов не меняется. В конце содержимого файла добавляется уникальный текст: "% encrypted", служащий маркером того, что файл был зашифрован. После этого, как и «NotPetya», «BadRabbit» создает запланированное задание для перезагрузки операционной системы.

После завершения атаки, система перезагружается, и на экране компьютера появляется сообщение с требованием о выкупе и ссылкой на сайт в сети ТОR. За расшифровку файлов злоумышленники требуют 0,05 ВТС, что эквивалентно примерно 300 долларам США. Сообщение визуально очень похоже на то, которое появлялось во время атаки «NotPetya».




!

Если для Вас конкретно эта новость оказалась важной или интересной - пожалуйста, поделитесь ею в своей любимой социальной сети с помощью кнопок, расположенных под этим текстом. Это поможет нам в будущем делать более качественную подборку материалов, исходя из Ваших потребностей\интересов.




Коды для вставки в блог\форум

blog comments powered by Disqus


Вспомним другие новости из этого раздела?


Soft

←+Ctrl+→

Интересные новости
Microsoft возобновляет распространение обновления Windows 10 October 2018Microsoft возобновляет распространение обновления Windows 10 October 2018
Вышла новая версия программы SiteAnalyzer 1.6.2Вышла новая версия программы SiteAnalyzer 1.6.2
Microsoft добавила поддержку 64-битных приложений в Windows 10 для ARM-процессоровMicrosoft добавила поддержку 64-битных приложений в Windows 10 для ARM-процессоров
Блок рекламы


Похожие новости

Киберполиция задержала жителя Днепра за продажу компьютерных вирусовКиберполиция задержала жителя Днепра за продажу компьютерных вирусов
Ubisoft обучила ИИ вылавливать баги в коде прямо в ходе его написания
Правительство Литвы запретило пользоваться антивирусами КасперскогоПравительство Литвы запретило пользоваться антивирусами Касперского
В Chrome для Windows появились базовые функции антивирусаВ Chrome для Windows появились базовые функции антивируса
FedEx оценила убытки от вируса NotPetya в $300 млн
В программе CCleaner обезврежена уязвимость – киберполицияВ программе CCleaner обезврежена уязвимость – киберполиция
Киберполиция рекомендует временно не использовать программу "CCleaner"Киберполиция рекомендует временно не использовать программу "CCleaner"
Убытки грузового гиганта Maersk от вируса NotPetya составили $300 млн
Киберполиция: Только 10% компаний обезопасили ПККиберполиция: Только 10% компаний обезопасили ПК
Киберполиция посоветовала не верить разработчикам M.E.Doc
Последние новости

Подгружаем последние новости