Wirus Bad Rabbit paraliżuje kolejne kraje. Żąda 0,05 bitcoina za odzyskanie dostępu do danych

Robert Kędzierski
Specjaliści od cyberbezpieczeństwa ostrzegają przed nowym wirusem, który rozprzestrzenia się po Europie. Bad Rabbit przypomina kampanie WannaCry i Petya. Antywirusy mogą go nie wykrywać. Jeden z ekspertów twierdzi, że wie jak uniknąć infekcji.

Lotnisko w Odessie, firmy w Rosji, na Ukrainie i Niemczech, Turcji oraz innych krajach stały się w ostatnich godzinach ofiarami nowego wirusa ransomware. Bad Rabbit rozprzestrzenia się po Europie od kilkudziesięciu godzin blokując dostęp do danych w coraz większej ilości maszyn.

Wirus rozprzestrzenia się m.in. za pomocą phishingu, potrafi też wykorzystywać narzędzia wbudowane w Windows do rozsyłania się w sieci wewnętrznej. Wystarczy więc jedna zainfekowana maszyna w domu lub firmie, by zagrożone były wszystkie. 

Chester Wisniewski, specjalista od bezpieczeństwa w firmie Sophos wyjaśnia w jaki sposób zainfekować komputer. 

Wszystko wskazuje na to, że najnowszy ransomware – Bad Rabbit rozprowadzany jest przez fałszywy plik instalatora programu Adobe Flash Player. Pierwsze raporty pochodzą przede wszystkim z Europy Wschodniej, zwłaszcza Rosji i Ukrainy. To, co sprawia, że to złośliwe oprogramowanie jest bardziej niebezpieczne niż inne ransomware, to jego zdolność do rozprzestrzeniania się w organizacji jako virus, a nie tylko przez załączniki wiadomości e-mail lub wtyczki sieciowe.
embed

Ofiara ataku widzi na ekranie swojego komputera komunikat i ultimatum - albo zapłaci 0,05 bitcoina okupu (ok. 1000 zł), albo straci dostęp do plików na zawsze. Na decyzję ma 48 godzin - później cena okupu idzie w górę. 

W tej chwili niektóre programy antywirusowe mogą jeszcze nie wykrywać obecności wirusa w komputerze. Specjaliści ostrzegają, że jego twórcy użyli silnych algorytmów szyfrujących, dlatego należy liczyć się z brakiem możliwości odzyskania danych. Jedyną możliwością jest zapłata okupu w celu uzyskania klucza deszyfrującego. 

Laboratorium Malwarebytes twierdzi, że Bad Rabbit to odświeżona wersja wirusa Petya/NotPetya, który siał postrach w czerwcu tego roku. 

Ekspert: infekcji można uniknąć. 

W przypadku Petyi infekcji można było uniknąć tworząc na dysku specjalne pliki. Jeden z ekspertów od cyberbezpieczeństwa twierdzi, że jest to możliwe również w przypadku Bad Rabbit.

Należy utworzyć dwa pliki w folderze Windows: c:\windows\infpub.dat oraz c:\windows\cscc.dat. Ustawiając je jako "tylko do odczytu" mielibyśmy być uodpornieni na infekcję. 

Czytaj też: FBI naciska na amerykańskie firmy: odinstalujcie oprogramowanie Kaspersky Lab. 

Nowy wirus zagnieżdża się w systemie ofiary etapami - pierwszy moduł robaka ściąga z sieci kolejne i instaluje je. Ostatnim etapem infekcji jest ustawienie w harmonogramie zadań zrestartowania maszyny. Analiza kodu wskazuje, że wirus jest zaawansowanym narzędziem. 

Firmy Malwarebytes i Kaspersky Lab twierdzą, że ich oprogramowanie antywirusowe wykrywa zagrożenie. Warto zatem zadbać o aktualizację. 

Sophos informuje nas, że blokuje znane punkty dystrybucji ransomware w internecie i zabezpiecza przed wszystkimi mutacjami Bad Rabbit jakie mogą się pojawić.

Bad Rabbit to kolejny wirus typu ransmoware, który atakuje w ostatnim czasie. Oprócz wspomnianej już kampanii Petya/NotPetya pisaliśmy też o wirusie WannaCry stworzonym na bazie narzędzi wykradzionych z amerykańskiej agencji wywiadowczej NSA. 

***

Emilian Kamiński: Żeby nie być frustratem, zacząłem sam organizować sobie życie [NEXT TIME]