Киберполиция нашла в коде вируса BadRabbit отсылку к “Игре престолов”
Киберполиция рассказала подробности действия вируса-шифровальщика “BadRabbit”, который использовали хакеры для масштабной кибератаки 24 октября.
Результаты предварительного анализа данных, полученных в результате работы специалистов подразделения, обнародованы на сайте Киберполиции, передает .
“В коде “BadRabbit” были обнаружены отсылки к фэнтезийному телесериалу “Игра престолов”. Например, у запланированных задач - имена трех драконов из сериала: Drogon, Rhaegal, Viserion. Ранее похожие отсылки к популярной фэнтезийной саге были замечены мировыми экспертами в составе одного из скриптов, который использовался для распространения известного шифровальщика “Locky”, - отмечается в сообщении.
Киберполицейские также констатируют, что в коде “BadRabbit” есть дублированные и аналогичные элементы кода “Petya”/”NotPetya”.
“В отличие от “NotPetya” шифровальщик “BadRabbit” не является "вайпером", то есть у него нету цели уничтожить информацию на жестких дисках зараженных компьютеров. Специалисты отмечают, что истинной целью этой “атаки” было желание злоумышленников обогатиться, и она была осуществлена исключительно из корыстных побуждений”, - заявляют в Киберполиции.
Как информируют в пресс-службе, среди пострадавших стран Украину поразило меньше всего.
“Киберполиция отмечает, что аудитория украинских пользователей не является массовой и составляет около 12% общего количества загрузок инфицированных обновлений”, - говорится в сообщении.
Специалисты из Киберполиции установили, что ключевое отличие между “Petya”/”NotPetya” и “BadRabbit” в разных начальных векторах атаки.
“BadRabbit” для распространения в качестве основного вектора использует пораженные сайты, с которых пользователями загружалось фальшивое обновление Flash.
Киберполиция предоставляет перечень пораженных интернет-сайтов, с которых было зафиксировано распространение вируса:
hxxp://argumentiru[.]com, hxxp://www.fontanka[.]ru, hxxp://grupovo[.]bg, hxxp://www.sinematurk[.]com, hxxp://www.aica.co[.]jp, hxxp://spbvoditel[.]ru, hxxp://argumenti[.]ru, hxxp://www.mediaport[.]ua, hxxp://blog.fontanka[.]ru, hxxp://an-crimea[.]ru, hxxp://www.t.ks[.]ua, hxxp://most-dnepr[.]info, hxxp://osvitaportal.com[.]ua, hxxp://www.otbrana[.]com, hxxp://calendar.fontanka[.]ru, hxxp://www.grupovo[.]bg, hxxp://www.pensionhotel[.]cz, hxxp://www.online812[.]ru, hxxp://www.imer[.]ro, hxxp://novayagazeta.spb[.]ru, hxxp://i24.com[.]ua, hxxp://bg.pensionhotel[.]com, hxxp://ankerch-crimea[.]ru.
Факты поражения компьютеров жертв в результате открытия файлов электронных документов, отправленных по каналам e-mail от неустановленных отправителей, также имели место и проверяются.
После посещения пораженного сайта пользователю предлагается загрузить себе на компьютер исполняемый файл-загрузчик (так называемый «дроппер»), замаскированный под обновление программного обеспечения «Adobe Flash Player». Вредоносная программа для дальнейшего срабатывания должна запускаться с правами администратора. После запуска она загружает («дроппит») и разворачивает основной модуль с названием infpub.dat в каталоге C:Windows , который в дальнейшем исполняется с помощью rundll32.exe
Кроме infpub.dat «дроппер» в тот же каталог загружает также другие элементы вируса - файлы «cscc.dat», «bootstat.dat» и «dispci.exe».
Файл «dispci.exe» в дальнейшем запускается с помощью запланированного задания операционной системы. Его функция заключается в установлении элемента вредоноса – шифровальщика загрузочной области.
В дальнейшем вредоносная программа шифрует только файлы с заданными расширениями, в том числе .doc, .docx, .xls, .xlsx. Существует предположение, что, вероятно, используется алгоритм AES в режиме CBC. После шифрования расширение файлов не меняется. В конце содержимого файла добавляется уникальный текст: "% encrypted", служащий маркером того, что файл был зашифрован. После этого, как и «NotPetya», «BadRabbit» создает запланированное задание для перезагрузки операционной системы.
После завершения атаки, система перезагружается, и на экране компьютера появляется сообщение с требованием о выкупе и ссылкой на сайт в сети ТОR. За расшифровку файлов злоумышленники требуют 0,05 ВТС, что эквивалентно примерно 300 долларам США. Сообщение визуально очень похоже на то, которое появлялось во время атаки «NotPetya».
