BadRabbit – złośliwy wirus atakuje porty lotnicze oraz metro

1

BadRabbit, złośliwy wirus oparty na kodzie NotPetya, rozprzestrzenia się w sieci.

Gdzie pojawił się BadRabbit?

Wczoraj zaczął rozprzestrzeniać się BadRabbit nowy wirus typu ransomware. Tym razem cyberprzestępcy wykorzystali popularny rosyjski serwis informacyjny, aby rozprzestrzenić wirusa. Nowy wirus wykorzystuje część kodu znanego z wirusa NotPetya, ale nie rozprzestrzenia się tak szybko jak NotPetya i WannaCry. BadRabbit zdążył już jednak zainfekować komputery ukraińskiego ministerstwa infrastruktury, lotniska w Odessie, kijowskiego metra i dwie rosyjskie firmy mediowe.

BadRabbit żąda okupu w wysokości 0,05 bitcoina, czyli ok. 276 dolarów.

Według specjalistów ds. bezpieczeństwa z laboratorium Avast, użytkownicy z 15 krajów padli już ofiarą wirusa. Najwięcej ataków zaobserwowano w Rosji (71%), następnie na Ukrainie (14%) i w Bułgarii (8%).

W Stanach Zjednoczonych oraz państwach Europy Wschodniej i Środkowej (w tym w Polsce i Rumunii) również zaobserwowano atak wirusa BadRabbit, jednak jak do tej pory nie była to znacząca liczba zainfekowanych komputerów (ok. 1% wszystkich ataków).

Jak rozprzestrzenia się BadRabbit?

Cyberprzestępcy wykorzystali popularne rosyjskie portale informacyjne Interfax i Fontanka, jako źródło wirusa, przy okazji stosując również taktykę wodopoju, licząc na to, że odwiedzający zainfekowaną stronę szybko przeniosą wirusa dalej. Wirusy typu ransomware oprócz żądania okupu mogą również w znaczny sposób sparaliżować działanie firmy, organizacji, transportu miejskiego, a nawet sieci wewnętrznej ministerstwa.

Wcześniejsze ataki ransomware doskonale to udowodniły – niektóre duże firmy musiały odesłać swoich pracowników do domu po zainfekowaniu systemów wirusem. W przypadku BadRabbit nośnikiem infekcji jest fałszywa aktualizacja Flash Playera, po jej ściągnięciu wirus rozpoczynał swoje działanie.

Gdy BadRabbit zainfekuje komputer, próbuje rozprzestrzenić się za pomocą sieci wewnętrznej, żeby zainfekować pozostałe komputery. Wirus posiada zestaw domyślnych loginów i haseł, a także korzysta z narzędzia Mimikatz, aby uzyskać dostęp do pozostałych haseł i rozprzestrzenić się na wszystkie komputery w sieci lokalnej.

Tak samo działał wcześniej wirus NotPetya. Aby uzyskać dostęp do komputerów w sieci lokalnej wirus wykorzystuje także protokół SMB, ale w przeciwieństwie do WannaCry i NotPetya, wirus BadRabbit nie korzysta z exploitów. Rozprzestrzenianie się wirusa w sieciach wewnętrznych jest tym razem oparte wyłącznie na odczytanych z systemu hasłach, ataku słownikowym lub współdzielonych zasobach sieciowych niezabezpieczonych żadnym hasłem.

Mimikatz wykorzystuje Windowsowy proces systemowy LSASS, który przechowuje hasła i zaszyfrowane hasła użyte w czasie sesji uwierzytelniających, np. w czasie korzystania z udostępnionego folderu przechowywanego na innym komputerze. Żeby uzyskać dostęp do takiego zasobu, konieczne jest wpisanie loginu i hasła. Te dane uwierzytelniające są następnie przechowywane przez LSASS, tak aby nie trzeba było ich wprowadzać ponownie w czasie aktywnej sesji.

Mimikatz skanuje pamięć LSASS w poszukiwaniu tych danych, a następnie kopiuje je. Cyberprzestępcy wykorzystują później te hasła, aby uzyskać dostęp do zasobów sieciowych i zaszyfrować zgromadzone tam zasoby lub zainfekować pozostałe urządzenia w sieci.

Można utrudnić lub uniemożliwić narzędziu Mimikatz pracę, włączając proces LSASS w trybie chronionym dla systemu Windows 8.1 i wyżej. Niestety ta opcja nie jest włączona domyślnie.

BadRabbit - lista krajów

Lista krajów zaatakowana przez BadRabbit.

Proces szyfrowania plików

Hakerzy stojący za BadRabbit nie wymyślili niczego całkowicie nowego, wykorzystali część kodu wirusa NotPetya, naprawili kilka usterek i dostosowali kod do nowych wymagań.

BadRabbit szyfruje zarówno dysk jak i pliki na zainfekowanym komputerze. Jako pierwsze szyfrowane są pliki za pomocą Windowsowego wbudowanego narzędzia Crypto-API. W tym samym czasie program do szyfrowania dysku – Diskcrypt jest instalowany na komputerze i rozpoczyna się restart systemu, po którym zaszyfrowany zostanie dysk. Wykorzystywane przez BadRabbit oprogramowanie Diskrypt jest całkowicie legalne i dostępne na rynku od ponad trzech lat.

W czasie instalacji programu Diskcryptor wirus tworzy nowy proces nazywany „cscc”. Jeśli się nie uda, wykorzystywany jest Windowsowy proces „cdfs” (system plików dla CD-ROM).

BadRabbit szyfruje również pliki w systemie. Oryginalny plik jest szyfrowany w swojej pierwotnej lokalizacji, co znacząco zmniejsza szanse odzyskania go bez klucza deszyfrującego. Czasami jednak wirus zapisuje zaszyfrowaną zawartość pliku w nowym pliku, jednocześnie usuwając oryginalny plik. Jeżeli plik został usunięty, oznacza to, że może być odnaleziony gdzieś na dysku komputera i przywrócony.

BadRabbit szyfruje pliki przy pomocy alogrytmu szyfrującego AES w wersji 128 bitowej, co uniemożliwia ich rozszyfrowanie przy użyciu metody brute force. Wszystkie pliki na zainfekowanym komputerze mają ten sam klucz szyfrujący. Zaszyfrowane pliki są oznaczane poprzez doklejenie zaszyfrowanego łańcucha znaków na końcu zawartości.

Klucz szyfrujący składa się z 33 losowych bajtów wygenerowanych przy użyciu CryptGenRandom – wysokiej jakości generatora liczb losowych. Otrzymany klucz jest konwertowany do 32-znakowego hasła tekstowego, które z kolei jest ponownie szyfrowane przy użyciu algorytmu MD5  i jest to klucz faktycznie używany do zaszyfrowania plików.

Do klucza dodawane są jeszcze: nazwa komputera ofiary, nazwa domeny, strefa czasowa oraz losowe dane. Następnie jest on szyfrowany przy użyciu publicznego klucza RSA zapisanego na stałe w binariach z wirusem (wspomniana wcześniej instalka Flasha). Wynik szyfrowania jest przechowywany w pliku X:\readme.txt (gdzie ‚X:’ oznacza jakikolwiek dysk twardy) jako unikalny identyfikator ofiary, a także pojawia się na ekranie w czasie restartu systemu.

W przeciwieństwie do wirusa NotPetya, który zaatakował w lipcu, klucz szyfrujący jest wytworzony tym razem poprawnie. Oznacza to, że pliki zaszyfrowane przez BadRabbit nie są uszkadzane, w przeciwieństwie do tych zaatakowanych przez NotPetya.

Jak przechytrzyć ochronę?

Wirusy typu ransomware sprytnie oszukują ochronę antywirusową, np. używając skomplikowanych komend, które w przypadku BadRabbit zawierały nawet odniesienia do Gry o Tron. Przykładem takiej komendy jest: C:\Windows\system32\cmd.exe /c schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR „C:\Windows\system32\cmd.exe /C Start \”\” \”C:\Windows\dispci.exe\” -id 4294681185 && exit”, co w zasadzie oznacza: C:\Windows\dispci.exe -id 4294681185

Gdyby cyberprzestępcy użyli właściwej komendy, oprogramowanie szyfrujące dysk zostałoby natychmiast rozpoznane przez antywirus.

 

Jak ochronić się przed BadRabbit?

Na komputerze można utworzyć plik, który zadziała jak ‚szczepionka’ i ochroni komputer przed wirusem. Jeśli użytkownik mający uprawnienia administratora utworzy plik: „C:\Windows\cscc.dat”, wirus nie zainfekuje komputera. Wystarczy utworzyć plik tekstowy, zmienić jego nazwę na cscc.dat, a następnie zapisać na C:\Windows\.

Jeśli komputer jest już zainfekowany wirusem BadRabbit, stanowczo odradza się płacenie okupu, tak jak zwykle w przypadku wirusów ransomware. Zapłacenie okupu utwierdza przestępców w przekonaniu, że jest to bardzo skuteczna metoda zarabiania pieniędzy i zachęca ich to do dalszych działań. Nie ma też gwarancji odzyskania plików.

W celu ochrony przed wirusami ransomware, takimi jak BadRabbit:

  • Zainstaluj program antywirusowy na wszystkich możliwych urządzeniach, wliczając w to smartfona. Antywirus zablokuje wirusa, gdy tylko rozpozna jego działalność.
  • Na bieżąco aktualizuj oprogramowanie. Najnowsze aktualizacje chronią przed wykorzystywaniem słabych punktów każdego z programów, co chętnie wykorzystują hakerzy. Bardzo ważne jest jednak, by aktualizacje pobierać tylko z oficjalnej strony dystrybutora programu, żeby nie paść ofiarą fałszywej aktualizacji, tak jak w przypadku BadRabbit i zainfekowanego źródła w aktualizacji programu Adobe Flash.
  • Przede wszystkim warto być ostrożnym. Tym razem zainfekowany był oficjalny portal informacyjny, ale zazwyczaj są to podejrzane strony internetowe, od których należy trzymać się z daleka, nie ściągać podejrzanych plików ani otwierać linków lub załączników od nieznanych lub podejrzanych nadawców. Wielu ludzi nie spodziewa się, że zwykły dokument Word lub Excel może skłonić użytkownika do ściągnięcia złośliwego wirusa, dlatego cyberprzestępcy chętnie je wykorzystują do swoich ataków. Złośliwe załączniki w formie dokumentu Word lub Excel często wyświetlają komunikat o włączeniu makro, kliknięcie w ten komunikat powoduje ściągnięcie wirusów z internetu, w tym również tych typu ransomware.
  • Pomimo tego, że nie ochroni cię to przed atakiem, to warto regularnie robić kopie zapasowe danych, wtedy w przypadku ataku, nie stracisz danych tylko będzie je można po prostu skopiować z dysku zewnętrznego. Najlepiej kopiować dane w trybie offline na dysk zewnętrzny, który również nie jest podłączony do internetu. Wtedy ryzyko, że ktoś dotrze do danych przez internet jest niewielka, a Twoje dane pozostaną bezpieczne.

Ważna informacja – AVG i AVAST chronią przed tym zagrożeniem!

Zarówno programy Avast jak i AVG rozpoznały BadRabbit jako Win32:Malware-gen, chroniąc swoich użytkowników przed złośliwym wirusem.

Cały czas monitorujemy sytuację i analizujemy wirusa BadRabbit. Jeśli pojawią się nowe informacje, niezwłocznie poinformujemy naszych użytkowników.

Źródło: https://blog.avast.com/its-rabbit-season-badrabbit-ransomware-infects-airports-and-subways

 

Podobał Ci się ten artykuł?

Zapisz się na listę i nie przegap nowych ciekawostek, porad i konkursów!

Potrzebjesz pomocy z komputerem?

Skorzystaj z wiedzy ekspertów i zadaj pytanie.

Prowadzisz małą lub średnią firmę?

Pobierz Darmowy Ebook - Bezpieczna firma z AVG, który pomoże Ci zwiększyć bezpieczeństwo biznesu, zaoszczędzić czas oraz pieniądze.

Znajdziesz w nim ponad 30 konkretnych artykułów, dzięki którym dowiesz jak się jak szybko i łatwo, za pomocą darmowych narzędzi zadbać o takie rzeczy jak: polityka bezpiecznych haseł, backup cennych danych, blokowanie portów USB, korzystanie z pulpitu zdalnego, awaryjne odzyskiwanie danych... i wiele, wiele więcej!

Pobierz e-book teraz!

O Autorze

trybawaryjny

Trybawaryjny.pl to strona zawierająca przydatne informacje, porady i ciekawostki dotyczące komputerów, pisane prostym i zrozumiałym językiem. Portal jest tworzony przy współpracy z ekspertami oprogramowania antywirusowego AVG.

  • Teresa Ignatowicz

    Dziękuję Radku za informację bardzo serdecznie.Polecam zapoznanie się z tym artykułem.Pozdrawiam.

Podobał Ci się ten tekst? Dołącz do nas na Facebooku i nie przegap NOWYCH artykułów!
Polub AVG na Facebooku