St
Пользователи сами пускали «Плохого кролика» в свои компьютеры
close
09:04, 25 окт. 2017

Пользователи сами пускали «Плохого кролика» в свои компьютеры

От вируса-шифровальщика пострадали компании в России, Германии, Болгарии и на Украине

От вируса-шифровальщика пострадали компании в России, Германии, Болгарии и на Украине

Пользователи сами пускали «Плохого кролика» в свои компьютеры
Фото: © GLOBAL LOOK press

Вирус-шифровальщик BadRabbit, атаковавший российские и украинские компании, а том числе аэропорт и метрополитен, распространялся в интернете под видом FlashPlayer с IP адреса, связанного с другими сайтами, замеченными в распространении спама и фишинге, сообщила лаборатория компьютерной криминалистики Group-IB. В компании заявили, что основная волна заражений прошла. 


24 октября, атаке вируса подверглись сайты российских СМИ: «Интерфакса», «Аргументов недели» и «Фонтанки». Кроме того, пострадали Киевский метрополитен, международный аэропорт Одессы и Министерство инфраструктуры Украины. Злоумышленники предприняли безуспешные попытки атаковать и российские банки из топ-20. Также сообщения о заражении поступали из Германии, Болгарии и Турции. Group-IB сообщила, что шифровальщик BadRabbit начал проявлять активность в 13:27. 


«Заражение происходило после захода на взломанные легитимные сайты. Специалистами Group-IB установлено, что вредоносная программа распространялась с помощью веб-трафика с взломанных интернет-ресурсов», — сообщается на сайте Group-IB.


Petya, откуда ты? Киев в кибератаке обвинил Москву, Брюссель – Украину

Россия подозревает причастность США. Пока ни одна сторона доказательства не представила 1 июля 2017

«После захода на зараженный ресурс пользователю предлагалось обновить flash-плеер. В случае нажатия кнопки данные на его компьютере зашифровывались. Вирус также крал пароли с его устройства и с их помощью зашифровывал другие компьютеры, находящиеся с ним в одной сети», — цитирует РБК замруководителя лаборатории компьютерной криминалистики Group-IB Сергея Никитина.


При активации вируса на экране открывался текст красного цвета на черном фоне с указанием индивидуального кода и адреса сайта в сети Tor, на котором запускался автоматический счетчик. После ввода кода на сайте открывался биткойн-кошелек. Распространители вируса требовали перевести 0,05 биткойна (283 доллара) за освобождение от шифрования. А счетчик времени на странице показывал, сколько осталось до повышения стоимости.


По информации Group-IB, злоумышленники готовились к атаке несколько дней. Кроме того, домен был зарегистрирован еще в 2016 году. «С ним связано множество других вредоносных доменов, первая активность которых относится еще к 2011 году. Возможно, эти домены тоже являются скомпрометированными и могут использоваться для проведения аналогичных атак, рассылки спама, фишинга», — рассказали специалисты.


Сколько зарабатывают Petya и его друзья

Как разбогатеть на вирусных атаках, разбираемся в материале Daily Storm 6 июля 2017

Вирусная лаборатория ESET обнаружила, что при атаке 24 октября использовалось вредоносное ПО Diskcoder.D — новая модификация шифратора, известного как Petya. Оно использует «инструмент Mimikatz для извлечения учетных данных в зараженных системах. Кроме того, в нем предусмотрен жестко закодированный список учетных данных», — сообщается на сайте ESET.


Как сообщила лаборатория, из сотни атак «на Россию пришлось 65%, Украину — 12,2%, Болгарию — 10,2%, Турцию — 6,4%, Японию — 3,8%, на другие страны — 2,4%».


Летом, 27 июня, атаке вируса Petya подверглись крупнейшие компании в России и на Украине. В числе пострадавших «Роснефть», «Башнефть», сеть гипермаркетов «Ашан», банк «Хоум Кредит», «Укрэнерго», «Киевэнерго», Ощадбанк, Укрсоцбанк, Укргазбанк, ОТП Банк, ПриватБанк и другие. В соцсетях сообщали о поражении вирусом банкоматов некоторых украинских банков. На Украине Petya заразил все компьютеры кабинета министров. Вирусная атака не обошла стороной АЭС в Чернобыле. В результате на атомной электростанции из строя вышли некоторые компьютеры и полностью остановилась система документооборота.


Petya проник на Чернобыльскую АЭС

Из-за атаки вируса на атомной электростанции вручную мониторят уровень радиации 27 июня 2017

Пети и Кролики портят жизнь? Мы расскажем, что думают специалисты об этой проблеме. Подпишитесь на нас в Telegram!

Telegram-канал Daily Storm