Witamy na naszej stronie,
Firma Term-Tech posiada wieloletnie doświadczenie w administrowaniu systemami informatycznymi udokumentowane praktyką i zdobytymi szkoleniami. Działamy od 2004r oferując profesjonalne doradztwo oraz obsługę informatyczną (outsourcing) dla Firm.
Wychodząc naprzeciw oczekiwaniom dynamicznie rozwijającego się rynku świadczymy usługi na najwyższym poziomie, gwarantując stabilne i bezpieczne działanie infrastruktury IT w Państwa firmie.
W naszej ofercie znajdują się:
Staramy się rozwiązać każdy problem.
Zapraszamy do współpracy.
Jesteśmy dla Ciebie i Twojego Biznesu.
BadRabbit, złośliwy wirus oparty na kodzie NotPetya, rozprzestrzenia się w sieci.
Wczoraj zaczął rozprzestrzeniać się BadRabbit nowy wirus typu ransomware. Tym razem cyberprzestępcy wykorzystali popularny rosyjski serwis informacyjny, aby rozprzestrzenić wirusa. Nowy wirus wykorzystuje część kodu znanego z wirusa NotPetya, ale nie rozprzestrzenia się tak szybko jak NotPetya i WannaCry. BadRabbit zdążył już jednak zainfekować komputery ukraińskiego ministerstwa infrastruktury, lotniska w Odessie, kijowskiego metra i dwie rosyjskie firmy mediowe.
BadRabbit żąda okupu w wysokości 0,05 bitcoina, czyli ok. 276 dolarów.
Według specjalistów ds. bezpieczeństwa z laboratorium Avast, użytkownicy z 15 krajów padli już ofiarą wirusa. Najwięcej ataków zaobserwowano w Rosji (71%), następnie na Ukrainie (14%) i w Bułgarii (8%).
W Stanach Zjednoczonych oraz państwach Europy Wschodniej i Środkowej (w tym w Polsce i Rumunii) również zaobserwowano atak wirusa BadRabbit, jednak jak do tej pory nie była to znacząca liczba zainfekowanych komputerów (ok. 1% wszystkich ataków).
Cyberprzestępcy wykorzystali popularne rosyjskie portale informacyjne Interfax i Fontanka, jako źródło wirusa, przy okazji stosując również taktykę wodopoju, licząc na to, że odwiedzający zainfekowaną stronę szybko przeniosą wirusa dalej. Wirusy typu ransomware oprócz żądania okupu mogą również w znaczny sposób sparaliżować działanie firmy, organizacji, transportu miejskiego, a nawet sieci wewnętrznej ministerstwa.
Wcześniejsze ataki ransomware doskonale to udowodniły – niektóre duże firmy musiały odesłać swoich pracowników do domu po zainfekowaniu systemów wirusem. W przypadku BadRabbit nośnikiem infekcji jest fałszywa aktualizacja Flash Playera, po jej ściągnięciu wirus rozpoczynał swoje działanie.
Gdy BadRabbit zainfekuje komputer, próbuje rozprzestrzenić się za pomocą sieci wewnętrznej, żeby zainfekować pozostałe komputery. Wirus posiada zestaw domyślnych loginów i haseł, a także korzysta z narzędzia Mimikatz, aby uzyskać dostęp do pozostałych haseł i rozprzestrzenić się na wszystkie komputery w sieci lokalnej.
Tak samo działał wcześniej wirus NotPetya. Aby uzyskać dostęp do komputerów w sieci lokalnej wirus wykorzystuje także protokół SMB, ale w przeciwieństwie do WannaCry i NotPetya, wirus BadRabbit nie korzysta z exploitów. Rozprzestrzenianie się wirusa w sieciach wewnętrznych jest tym razem oparte wyłącznie na odczytanych z systemu hasłach, ataku słownikowym lub współdzielonych zasobach sieciowych niezabezpieczonych żadnym hasłem.
Mimikatz wykorzystuje Windowsowy proces systemowy LSASS, który przechowuje hasła i zaszyfrowane hasła użyte w czasie sesji uwierzytelniających, np. w czasie korzystania z udostępnionego folderu przechowywanego na innym komputerze. Żeby uzyskać dostęp do takiego zasobu, konieczne jest wpisanie loginu i hasła. Te dane uwierzytelniające są następnie przechowywane przez LSASS, tak aby nie trzeba było ich wprowadzać ponownie w czasie aktywnej sesji.
Mimikatz skanuje pamięć LSASS w poszukiwaniu tych danych, a następnie kopiuje je. Cyberprzestępcy wykorzystują później te hasła, aby uzyskać dostęp do zasobów sieciowych i zaszyfrować zgromadzone tam zasoby lub zainfekować pozostałe urządzenia w sieci.
Można utrudnić lub uniemożliwić narzędziu Mimikatz pracę, włączając proces LSASS w trybie chronionym dla systemu Windows 8.1 i wyżej. Niestety ta opcja nie jest włączona domyślnie.
Lista krajów zaatakowana przez BadRabbit.
Hakerzy stojący za BadRabbit nie wymyślili niczego całkowicie nowego, wykorzystali część kodu wirusa NotPetya, naprawili kilka usterek i dostosowali kod do nowych wymagań.
BadRabbit szyfruje zarówno dysk jak i pliki na zainfekowanym komputerze. Jako pierwsze szyfrowane są pliki za pomocą Windowsowego wbudowanego narzędzia Crypto-API. W tym samym czasie program do szyfrowania dysku – Diskcrypt jest instalowany na komputerze i rozpoczyna się restart systemu, po którym zaszyfrowany zostanie dysk. Wykorzystywane przez BadRabbit oprogramowanie Diskrypt jest całkowicie legalne i dostępne na rynku od ponad trzech lat.
W czasie instalacji programu Diskcryptor wirus tworzy nowy proces nazywany „cscc”. Jeśli się nie uda, wykorzystywany jest Windowsowy proces „cdfs” (system plików dla CD-ROM).
BadRabbit szyfruje również pliki w systemie. Oryginalny plik jest szyfrowany w swojej pierwotnej lokalizacji, co znacząco zmniejsza szanse odzyskania go bez klucza deszyfrującego. Czasami jednak wirus zapisuje zaszyfrowaną zawartość pliku w nowym pliku, jednocześnie usuwając oryginalny plik. Jeżeli plik został usunięty, oznacza to, że może być odnaleziony gdzieś na dysku komputera i przywrócony.
BadRabbit szyfruje pliki przy pomocy alogrytmu szyfrującego AES w wersji 128 bitowej, co uniemożliwia ich rozszyfrowanie przy użyciu metody brute force. Wszystkie pliki na zainfekowanym komputerze mają ten sam klucz szyfrujący. Zaszyfrowane pliki są oznaczane poprzez doklejenie zaszyfrowanego łańcucha znaków na końcu zawartości.
Klucz szyfrujący składa się z 33 losowych bajtów wygenerowanych przy użyciu CryptGenRandom – wysokiej jakości generatora liczb losowych. Otrzymany klucz jest konwertowany do 32-znakowego hasła tekstowego, które z kolei jest ponownie szyfrowane przy użyciu algorytmu MD5 i jest to klucz faktycznie używany do zaszyfrowania plików.
Do klucza dodawane są jeszcze: nazwa komputera ofiary, nazwa domeny, strefa czasowa oraz losowe dane. Następnie jest on szyfrowany przy użyciu publicznego klucza RSA zapisanego na stałe w binariach z wirusem (wspomniana wcześniej instalka Flasha). Wynik szyfrowania jest przechowywany w pliku X:\readme.txt (gdzie ‚X:’ oznacza jakikolwiek dysk twardy) jako unikalny identyfikator ofiary, a także pojawia się na ekranie w czasie restartu systemu.
W przeciwieństwie do wirusa NotPetya, który zaatakował w lipcu, klucz szyfrujący jest wytworzony tym razem poprawnie. Oznacza to, że pliki zaszyfrowane przez BadRabbit nie są uszkadzane, w przeciwieństwie do tych zaatakowanych przez NotPetya.
Wirusy typu ransomware sprytnie oszukują ochronę antywirusową, np. używając skomplikowanych komend, które w przypadku BadRabbit zawierały nawet odniesienia do Gry o Tron. Przykładem takiej komendy jest: C:\Windows\system32\cmd.exe /c schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR „C:\Windows\system32\cmd.exe /C Start \”\” \”C:\Windows\dispci.exe\” -id 4294681185 && exit”, co w zasadzie oznacza: C:\Windows\dispci.exe -id 4294681185
Gdyby cyberprzestępcy użyli właściwej komendy, oprogramowanie szyfrujące dysk zostałoby natychmiast rozpoznane przez antywirus.
Na komputerze można utworzyć plik, który zadziała jak ‚szczepionka’ i ochroni komputer przed wirusem. Jeśli użytkownik mający uprawnienia administratora utworzy plik: „C:\Windows\cscc.dat”, wirus nie zainfekuje komputera. Wystarczy utworzyć plik tekstowy, zmienić jego nazwę na cscc.dat, a następnie zapisać na C:\Windows\.
Jeśli komputer jest już zainfekowany wirusem BadRabbit, stanowczo odradza się płacenie okupu, tak jak zwykle w przypadku wirusów ransomware. Zapłacenie okupu utwierdza przestępców w przekonaniu, że jest to bardzo skuteczna metoda zarabiania pieniędzy i zachęca ich to do dalszych działań. Nie ma też gwarancji odzyskania plików.
W celu ochrony przed wirusami ransomware, takimi jak BadRabbit:
Zarówno programy Avast jak i AVG rozpoznały BadRabbit jako Win32:Malware-gen, chroniąc swoich użytkowników przed złośliwym wirusem.
Cały czas monitorujemy sytuację i analizujemy wirusa BadRabbit. Jeśli pojawią się nowe informacje, niezwłocznie poinformujemy naszych użytkowników.
Źródło: https://trybawaryjny.pl/badrabbit/
