Киберполиция нашла в коде вируса BadRabbit отсылку к “Игре престолов”

Киберполиция нашла в коде вируса BadRabbit отсылку к “Игре престолов”

Киберполиция рассказала подробности действия вируса-шифровальщика “BadRabbit”, который использовали хакеры для масштабной кибератаки 24 октября.

Результаты предварительного анализа данных, полученных в результате работы специалистов подразделения, обнародованы на сайте Киберполиции, передает Укринформ.

“В коде “BadRabbit” были обнаружены отсылки к фэнтезийному телесериалу “Игра престолов”. Например, у запланированных задач - имена трех драконов из сериала: Drogon, Rhaegal, Viserion. Ранее похожие отсылки к популярной фэнтезийной саге были замечены мировыми экспертами в составе одного из скриптов, который использовался для распространения известного шифровальщика “Locky”, - отмечается в сообщении.

Киберполицейские также констатируют, что в коде “BadRabbit” есть дублированные и аналогичные элементы кода “Petya”/”NotPetya”.

“В отличие от “NotPetya” шифровальщик “BadRabbit” не является "вайпером", то есть у него нету цели уничтожить информацию на жестких дисках зараженных компьютеров. Специалисты отмечают, что истинной целью этой “атаки” было желание злоумышленников обогатиться, и она была осуществлена исключительно из корыстных побуждений”, - заявляют в Киберполиции.

Как информируют в пресс-службе, среди пострадавших стран Украину поразило меньше всего.

“Киберполиция отмечает, что аудитория украинских пользователей не является массовой и составляет около 12% общего количества загрузок инфицированных обновлений”, - говорится в сообщении.

Специалисты из Киберполиции установили, что ключевое отличие между “Petya”/”NotPetya” и “BadRabbit” в разных начальных векторах атаки.

“BadRabbit” для распространения в качестве основного вектора использует пораженные сайты, с которых пользователями загружалось фальшивое обновление Flash.

Киберполиция предоставляет перечень пораженных интернет-сайтов, с которых было зафиксировано распространение вируса:

hxxp://argumentiru[.]com, hxxp://www.fontanka[.]ru, hxxp://grupovo[.]bg, hxxp://www.sinematurk[.]com, hxxp://www.aica.co[.]jp, hxxp://spbvoditel[.]ru, hxxp://argumenti[.]ru, hxxp://www.mediaport[.]ua, hxxp://blog.fontanka[.]ru, hxxp://an-crimea[.]ru, hxxp://www.t.ks[.]ua, hxxp://most-dnepr[.]info, hxxp://osvitaportal.com[.]ua, hxxp://www.otbrana[.]com, hxxp://calendar.fontanka[.]ru, hxxp://www.grupovo[.]bg, hxxp://www.pensionhotel[.]cz, hxxp://www.online812[.]ru, hxxp://www.imer[.]ro, hxxp://novayagazeta.spb[.]ru, hxxp://i24.com[.]ua, hxxp://bg.pensionhotel[.]com, hxxp://ankerch-crimea[.]ru.

Факты поражения компьютеров жертв в результате открытия файлов электронных документов, отправленных по каналам e-mail от неустановленных отправителей, также имели место и проверяются.

После посещения пораженного сайта пользователю предлагается загрузить  себе на компьютер исполняемый файл-загрузчик (так называемый «дроппер»), замаскированный под обновление программного обеспечения «Adobe Flash Player». Вредоносная программа для дальнейшего срабатывания должна запускаться с правами администратора. После запуска она загружает («дроппит») и разворачивает основной модуль с названием infpub.dat в каталоге C:Windows , который в дальнейшем исполняется с помощью rundll32.exe

Кроме infpub.dat «дроппер» в тот же каталог загружает также другие элементы вируса - файлы «cscc.dat», «bootstat.dat» и «dispci.exe».

Файл «dispci.exe» в дальнейшем запускается с помощью запланированного задания операционной системы. Его функция заключается в установлении элемента вредоноса – шифровальщика загрузочной области.

В дальнейшем вредоносная программа шифрует только файлы с заданными расширениями, в том числе .doc, .docx, .xls, .xlsx. Существует предположение, что, вероятно, используется алгоритм AES в режиме CBC. После шифрования расширение файлов не меняется. В конце содержимого файла добавляется уникальный текст: "% encrypted", служащий маркером того, что файл был зашифрован. После этого, как и «NotPetya», «BadRabbit» создает запланированное задание для перезагрузки операционной системы.

После завершения атаки, система перезагружается, и на экране компьютера появляется сообщение с требованием о выкупе и ссылкой на сайт в сети ТОR. За расшифровку файлов злоумышленники требуют 0,05 ВТС, что эквивалентно примерно 300 долларам США. Сообщение визуально очень похоже на то, которое появлялось во время атаки «NotPetya».




!

Если для Вас конкретно эта новость оказалась важной или интересной - пожалуйста, поделитесь ею в своей любимой социальной сети с помощью кнопок, расположенных под этим текстом. Это поможет нам в будущем делать более качественную подборку материалов, исходя из Ваших потребностей\интересов.




Коды для вставки в блог\форум

blog comments powered by Disqus


Вспомним другие новости из этого раздела?


Soft

←+Ctrl+→

Интересные новости
На смартфоне iPhone X запустили Windows 95 (ВИДЕО)На смартфоне iPhone X запустили Windows 95 (ВИДЕО)
container-diff — новая утилита от Google для сравнения образов Docker-контейнеровcontainer-diff — новая утилита от Google для сравнения образов Docker-контейнеров
Microsoft сделает поиск в Windows 10 наподобие macOS SpotlightMicrosoft сделает поиск в Windows 10 наподобие macOS Spotlight
CARLA — Open Source-симулятор от Intel и Toyota для обучения беспилотных автомобилейCARLA — Open Source-симулятор от Intel и Toyota для обучения беспилотных автомобилей
GhostBSD 11.1 — обновлённая система на базе FreeBSD с MATE и Xfce для десктоповGhostBSD 11.1 — обновлённая система на базе FreeBSD с MATE и Xfce для десктопов
Блок рекламы


Похожие новости

В Chrome для Windows появились базовые функции антивирусаВ Chrome для Windows появились базовые функции антивируса
FedEx оценила убытки от вируса NotPetya в $300 млн
В программе CCleaner обезврежена уязвимость – киберполицияВ программе CCleaner обезврежена уязвимость – киберполиция
Киберполиция рекомендует временно не использовать программу "CCleaner"Киберполиция рекомендует временно не использовать программу "CCleaner"
Убытки грузового гиганта Maersk от вируса NotPetya составили $300 млн
Киберполиция: Только 10% компаний обезопасили ПККиберполиция: Только 10% компаний обезопасили ПК
Киберполиция посоветовала не верить разработчикам M.E.Doc
Хакеры, называющие себя авторами вируса Petya, сделали первое заявление: вымогают $256 000
В компании «M.E.Doc» признались в факте своего взлома и распространения вируса PetyaВ компании «M.E.Doc» признались в факте своего взлома и распространения вируса Petya
Киберполиция рассказала, в каких случаях можно восстановиться после вируса PetyaКиберполиция рассказала, в каких случаях можно восстановиться после вируса Petya
Последние новости

Подгружаем последние новости