Atak groźnego ransomware – uwaga na Bad Rabbit

22/11/2017

157

Zaledwie kilka dni temu u naszych wschodnich sąsiadów wykryto bardzo groźnego wirusa typu ransomware, nazwanego Bad Rabbit. Ataki przeprowadzono głównie na komputery w Rosji oraz na Ukrainie, ale pojedyncze przypadki odnotowano również w Niemczech, Turcji czy innych krajach Europy Wschodniej. Kolejne ofiary można jednak znaleźć już nawet w USA czy w Korei Południowej. Ataki miały godzin nie w urządzenia zwykłych, codziennych użytkowników, ale przede wszystkim w główne obiekty użyteczności publicznej, mające na celu ogólną dezorientację, chaos i paraliż. I tak ofiarą padło lotnisko w Odessie, ale też agencje rasowe Fontanka, Interfax czy metro w Kijowie. Wykrycie sprawców jest o tyle trudne, że nie pozostawili oni żadnych śladów swojego działania na serwerach już w momencie, kiedy badacze zajęli się analizowaniem złośliwego oprogramowania.

Co było przyczyną?

Do ataku wykorzystano spreparowane kopie wtyczki Flash Player, które były do pobrania z zainfekowanych wirusem strony. Drugą metodą rozprzestrzeniania się oprogramowania była tak zwana technika wodopoju, skuteczna w przypadku na przykład grupy pracowników, gdzie wystarczy, aby zainfekowany został jeden komputer, aby reszta również została nim zarażona. Dzięki temu zmniejsza się konieczność poszukiwania właściwego źródła.

Działanie szkodliwego oprogramowania

Jak to bywa w przypadku ransomware, wirus po zainstalowaniu powodował wykradzenie haseł i nazwy użytkownika, a także zaszyfrowanie plików, jednak bez zmieniania ich nazw. Prawdopodobnie w przypadku tego wirusa listowane są wszystkie adresy IP w każdej podsieci. Eksperci podejrzewają, że może to mieć związek z chęcią znalezienia adresu serwera internetowego. Niektórzy badacze uważają, że jest to klon lub bliźniaczy twór znanego już wirusa (not)Petya, jednak porównując oba zagrożenia, ten drugi korzysta z EternalBlue oraz DoublePulsar. Jeśli chodzi o same żądania, nie są one zbyt wysokie, ponieważ Zły Królik wymaga zapłacenia mniej więcej 275 dolarów lub 0,0 Bitcoin’a.

Jak można się bronić?

Oczywiście korzystanie z różnorodnych zapór czy odpowiednich antywirusów jest jak najbardziej wskazane, to nie każde zabezpieczenie poradzi sobie z wciąż nowymi i modyfikowanymi wirusami czy złośliwym oprogramowaniem. W tym przypadku Microsoft zamieścił artykuł o możliwościach ochrony przed tego typu zagrożeniem, w sieci można znaleźć także wzmiankę mówiącą o tym, że istnieje szczepionka w postaci stworzenia dwóch plików: c:\windows\infpub.dat, a także c:\windows\cscc.dat, usuwając jednocześnie wszystkie ich uprawnienia.