Lotnisko w Odessie, firmy w Rosji, na Ukrainie i Niemczech, Turcji oraz innych krajach stały się w ostatnich godzinach ofiarami nowego wirusa ransomware. Bad Rabbit rozprzestrzenia się po Europie od kilkudziesięciu godzin blokując dostęp do danych w coraz większej ilości maszyn.
Wirus rozprzestrzenia się m.in. za pomocą phishingu, potrafi też wykorzystywać narzędzia wbudowane w Windows do rozsyłania się w sieci wewnętrznej. Wystarczy więc jedna zainfekowana maszyna w domu lub firmie, by zagrożone były wszystkie.
Chester Wisniewski, specjalista od bezpieczeństwa w firmie Sophos wyjaśnia w jaki sposób zainfekować komputer.
Wszystko wskazuje na to, że najnowszy ransomware – Bad Rabbit rozprowadzany jest przez fałszywy plik instalatora programu Adobe Flash Player. Pierwsze raporty pochodzą przede wszystkim z Europy Wschodniej, zwłaszcza Rosji i Ukrainy. To, co sprawia, że to złośliwe oprogramowanie jest bardziej niebezpieczne niż inne ransomware, to jego zdolność do rozprzestrzeniania się w organizacji jako virus, a nie tylko przez załączniki wiadomości e-mail lub wtyczki sieciowe.
Ofiara ataku widzi na ekranie swojego komputera komunikat i ultimatum - albo zapłaci 0,05 bitcoina okupu (ok. 1000 zł), albo straci dostęp do plików na zawsze. Na decyzję ma 48 godzin - później cena okupu idzie w górę.
W tej chwili niektóre programy antywirusowe mogą jeszcze nie wykrywać obecności wirusa w komputerze. Specjaliści ostrzegają, że jego twórcy użyli silnych algorytmów szyfrujących, dlatego należy liczyć się z brakiem możliwości odzyskania danych. Jedyną możliwością jest zapłata okupu w celu uzyskania klucza deszyfrującego.
Laboratorium Malwarebytes twierdzi, że Bad Rabbit to odświeżona wersja wirusa Petya/NotPetya, który siał postrach w czerwcu tego roku.
Ekspert: infekcji można uniknąć.
W przypadku Petyi infekcji można było uniknąć tworząc na dysku specjalne pliki. Jeden z ekspertów od cyberbezpieczeństwa twierdzi, że jest to możliwe również w przypadku Bad Rabbit.
Należy utworzyć dwa pliki w folderze Windows: c:\windows\infpub.dat oraz c:\windows\cscc.dat. Ustawiając je jako "tylko do odczytu" mielibyśmy być uodpornieni na infekcję.
Czytaj też: FBI naciska na amerykańskie firmy: odinstalujcie oprogramowanie Kaspersky Lab.
Nowy wirus zagnieżdża się w systemie ofiary etapami - pierwszy moduł robaka ściąga z sieci kolejne i instaluje je. Ostatnim etapem infekcji jest ustawienie w harmonogramie zadań zrestartowania maszyny. Analiza kodu wskazuje, że wirus jest zaawansowanym narzędziem.
Firmy Malwarebytes i Kaspersky Lab twierdzą, że ich oprogramowanie antywirusowe wykrywa zagrożenie. Warto zatem zadbać o aktualizację.
Sophos informuje nas, że blokuje znane punkty dystrybucji ransomware w internecie i zabezpiecza przed wszystkimi mutacjami Bad Rabbit jakie mogą się pojawić.
Bad Rabbit to kolejny wirus typu ransmoware, który atakuje w ostatnim czasie. Oprócz wspomnianej już kampanii Petya/NotPetya pisaliśmy też o wirusie WannaCry stworzonym na bazie narzędzi wykradzionych z amerykańskiej agencji wywiadowczej NSA.
***
