Нов ransomware се шири низ Европа

Bad Rabbit е нов ransomware кој брзо се шири во Европа. Вирусот успеа брзо да се рашири во Русија и Украина, а набрзо се прошири и во Турција, Бугарија и Германија. Избројани се околу 200 инфицирани системи. Најголем број цели на напад се од Русија, 65%. Потоа следат: Украина, 12.2%; Бугарија, 10.2%; Турција, 6.4% и  Јапонија, 3.8%.

Иако вирусот не стигна до бројката на заразени компјутери како претходникот, целите се значајни. Во Русија цел на напад се неколку медиумски куќи, помеѓу кои и Interfax. Во Украина цел на напад се аеродромот во Одеса, метрото во Киев и Министерството за транспорт.

Безбедносните експерти јавија дека BadRabbit е понапреден вирус од Not-Petya. Kaspersky вели дека BadRabbit е нова фамилија на ransomware, но имаат податоци кои гои поврзуваат со креаторите на Not-Petya. Една од инфицираните страници од која се шири малициозниот софтвер е  страницта на украинската новинска агенција Bahmut.com.ua. Сајтот е нападнат во јунските напади на Not-Petya, но тогаш заедно со 30 други страници останаа неактивни. Овие страници сега се активираа за распространување на BadRabbit. Поради ова, експертите сметаат дека продолжението на нападите е планирано уште во јуни.

Нападот се шири преку „Drive-by“ од компромитирани популарни сајтови. Странците кои се компромитирани имаат JavaScript код вметнат или во HTML или во некој .js фајл. Кога корисникот ја посетува страницата се активира кодот.

Порака која ја добива корисникот по криптирањето на податоците. Image courtesy of Kaspersky

Од компјутерот на корисникот се испраќаат податоци за: прелистувачот кој се користи, идентификатор за страницата, интернет колаче од страницата и доменот од посетената страница. Потоа серверот треба да одлучи дали корисникот е од интерес или не е. Ако не е од интерес, не се случува ништо, ако корисникот е проценет како вредна цел, се отвора поп-ап прозорец кој бара преземање на „надградба на Flash Player“. Ова секако не е надградба на Flash, туку ransomware кој го заклучува компјутерот и сите податоци. Интересно, не се користи никаков пропуст, туку корисникот мора самиот да прифати да го преземе фајлот.

По криптирањето на екранот се појавува порака која од корисниците бара преку Tor да исплатат 0.05 биткоини за клучот и декриптирање.

За разлика од претходната Not-Petya, BadRabbit не го користи EthernalBlue пропустот. Вирусот понатаму во мрежата се шири преку SMB и алатката Mimikatz.

Страницата на која треба да се упалатат биткоините и часовникот до промена на цената. Image courtesy of ESET

Win32/Diskcoder.D е променета верзија на Win32/Diskcoder.C, велат безбедносните експерти од ESET. Баговите во криптирањето се поправени, а за криптирање се користи алатката со отворен код DiskCryptor. Генерираните клучеви се RSA 2048.

Засега е нејасно кој е зад нападите. Ако за Not-Petya главни осомничени се руските хакери, најмногу цели во новиот напад се од Русија. Веројатната поврзаност со првите напади сега можеби го поставува прашањето дали треба да се бараат нови виновници и за претходните напади.

1 коментар на “Нов ransomware се шири низ Европа

Коментирај

Вашата адреса за е-пошта нема да биде објавена.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Слични статии