Bad rabbit как происходит. Шифровальщик Bad Rabbit («Плохой кролик») атакует пользователей из России и Украины. Как он распространяется

Обновление 27.10.2017. Оценка возможности дешифрования. Возможность восстановления файлов. Вердикты.

Что произошло?

Во вторник 24 октября мы получили уведомления о массовых атаках с использованием вымогателя Bad Rabbit («Плохой кролик»). Пострадали организации и отдельные пользователи - преимущественно в России, но были и сообщения о жертвах из Украины. Такое сообщение видят жертвы:

Что представляет собой Bad Rabbit?

Bad Rabbit относится к ранее неизвестному семейству программ-вымогателей.

Как он распространяется?

Зловред распространятся с помощью drive-by-атаки: жертва посещает легитимный веб-сайт, а на ее компьютер из инфраструктуры организатора атаки загружается . Преступники не использовали , поэтому для заражения пользователь должен был вручную запустить файл, замаскированный под установщик Adobe Flash. Тем не менее, наш анализ подтверждает, что Bad Rabbit использовал эксплойт EternalRomance для распространения внутри корпоративных сетей. Этот же эксплойт использовался шифровальщиком ExPetr.

Мы обнаружили ряд взломанных ресурсов - все они представляют собой новостные порталы и сайты СМИ.

На кого нацелена атака?

Большинство жертв находятся в России. Схожие, но менее массовые атаки затронули другие страны - Украину, Турцию и Германию. Общее количество целей, согласно статистике KSN, доходит до 200.

Когда «Лаборатория Касперского» обнаружила угрозу?

Мы смогли отследить исходный вектор атаки в самом ее начале, утром 24 октября. Активная фаза продолжалась до полудня, хотя отдельные атаки фиксировались до 19.55 по Москве. Сервер, с которого распространялся дроппер Bad rabbit, был отключен тем же вечером.

Чем Bad Rabbit отличается от шифровальщика ExPetr? Или это тот же зловред?

По нашим наблюдениям, сейчас речь идет о целевой атаке на корпоративные сети, ее методы схожи с применявшимися во время . Более того, анализ кода Bad Rabbit продемонстрировал его заметное сходство с кодом ExPetr.

Технические подробности

По нашим данным, программа-вымогатель распространятся посредством drive-by атаки. Дроппер вымогателя загружается с адреса hxxp://1dnscontrol[.]com/flash_install.php.

Жертвы перенаправляются на этот вредоносный ресурс с легитимных новостных сайтов.

Загруженный файл install_flash_player.exe жертва должна запустить вручную. Для правильной работы файлу требуются права администратора, которые он запрашивает через стандартное уведомление UAC. В случае запуска зловред сохраняет вредоносную DLL-библиотеку как C:Windowsinfpub.dat и запускает его через rundll32.

Псевдокод процедуры установки вредоносной DLL

По всей видимости, библиотека infpub.dat «брутфорсит» учетные данные NTLM к Windows-машинам с псевдослучайными IP-адресами.

Жестко прописанный список учетных данных

Библиотека infpub.dat также устанавливает вредоносный исполняемый файл dispci.exe в C:Windows и создает задачу для его запуска.

Псевдокод процедуры, создающей задачу запуска вредоносного исполняемого файла

Более того, infpub.dat действует как типичный шифровальщик-вымогатель: он находит данные жертвы по встроенному списку расширений и шифрует файлы публичным 2048-битным RSA-ключом, принадлежащим злоумышленникам.

Публичный ключ злоумышленников и список расширений

Параметры публичного ключа:

Public-Key: (2048 bit)
Modulus:
00:e5:c9:43:b9:51:6b:e6:c4:31:67:e7:de:42:55:
6f:65:c1:0a:d2:4e:2e:09:21:79:4a:43:a4:17:d0:
37:b5:1e:8e:ff:10:2d:f3:df:cf:56:1a:30:be:ed:
93:7c:14:d1:b2:70:6c:f3:78:5c:14:7f:21:8c:6d:
95:e4:5e:43:c5:71:68:4b:1a:53:a9:5b:11:e2:53:
a6:e4:a0:76:4b:c6:a9:e1:38:a7:1b:f1:8d:fd:25:
4d:04:5c:25:96:94:61:57:fb:d1:58:d9:8a:80:a2:
1d:44:eb:e4:1f:1c:80:2e:e2:72:52:e0:99:94:8a:
1a:27:9b:41:d1:89:00:4c:41:c4:c9:1b:0b:72:7b:
59:62:c7:70:1f:53:fe:36:65:e2:36:0d:8c:1f:99:
59:f5:b1:0e:93:b6:13:31:fc:15:28:da:ad:1d:a5:
f4:2c:93:b2:02:4c:78:35:1d:03:3c:e1:4b:0d:03:
8d:5b:d3:8e:85:94:a4:47:1d:d5:ec:f0:b7:43:6f:
47:1e:1c:a2:29:50:8f:26:c3:96:d6:5d:66:36:dc:
0b:ec:a5:fe:ee:47:cd:7b:40:9e:7c:1c:84:59:f4:
81:b7:5b:5b:92:f8:dd:78:fd:b1:06:73:e3:6f:71:
84:d4:60:3f:a0:67:06:8e:b5:dc:eb:05:7c:58:ab:
1f:61
Exponent: 65537 (0x10001)

style="font-family: Consolas,Monaco,monospace;">

Исполняемый файл dispci.exe, похоже, основан на коде легальной утилиты DiskCryptor. Он действует как модуль шифрования диска и параллельно устанавливает модифицированный загрузчик, блокируя нормальный процесс загрузки инфицированной системы.

В ходе анализа образцов этой угрозы мы отметили интересную деталь: по всей видимости, авторы вредоносной программы являются поклонниками «Игры престолов». Некоторые строки в коде представляют собой имена персонажей из этой вселенной.

Имена драконов из «Игры престолов»

Имена персонажей из «Игры престолов»

Схема шифрования

Как мы уже упоминали, вымогатель Bad Rabbit шифрует файлы и жесткий диск жертвы. Для файлов используются следующие алгоритмы:

1. AES-128-CBC
2. RSA-2048

Это типичная схема, используемая зловредами-вымогателями.

Интересно, что вымогатель перечисляет все запущенные процессы и сравнивает хэш от имени каждого процесса с имеющимся у него списком хэшей. При этом используемый алгоритм хэширования похож на тот, что использовался зловредом exPetr.

Сравнение процедур хэширования Bad Rabbit и ExPetr

Особая ветвь исполнения программы

Процедура инициализации флагов времени исполнения

Полный список хэшей от имен процессов:

Разделы на жестком диске жертвы шифруются с помощью драйвера dcrypt.sys программы DiskCryptor (он загружается в C:Windowscscc.dat). Шифровальщик посылает этому драйверу необходимые IOCTL коды. Отдельные функции берутся «как есть» из исходников DiskCryptor (drv_ioctl.c), другие, как кажется, были добавлены разработчиками зловреда.

Разделы диска шифруются драйвером DiskCryptor с использованием AES в режиме XTS. Пароль генерируется dispci.exe с использованием функции WinAPI CryptGenRandom и имеет длину 32 символа.

Оценка возможности дешифрования

Наши данные свидетельствуют, что Bad rabbit, в отличие от ExPetr, не создавался как вайпер (о том, что создатели ExPetr технически не способны расшифровать MFT, зашифрованную с помощью GoldenEye, мы писали ранее). Алгоритм работы вредоносного ПО предполагает, что у злоумышленников, стоящих за Bad rabbit, есть необходимые средства для дешифровки.

Данные, которые отображаются на экране зараженной машины как «personal installation key#1», это зашифрованная RSA-2048 и закодированная base64 двоичная структура, которая содержит следующую информацию из зараженной системы:

Злоумышленники могут использовать свой секретный ключ RSA для расшифровки этой структуры и отправить пароль для расшифровки диска жертве.

Обратите внимание, что значение поля id, которое передается dispci.exe - просто 32-битное число, используемое чтобы различать зараженные компьютеры, а вовсе не ключ AES для шифрования диска, как говорилось в некоторых отчетах, опубликованных в интернете.

В процессе анализа мы под отладкой извлекли пароль, создаваемый вредоносным ПО, и попытались использовать его на заблокированной системе после перезагрузки - пароль подошел, и загрузка продолжилась.

К сожалению, расшифровать данные на дисках без ключа RSA-2048 злоумышленников невозможно: симметричные ключи безопасно генерируются на стороне зловреда, что на практике исключает возможность их подбора.

Однако мы обнаружили ошибку в коде dispci.exe: сгенерированный пароль не удаляется из памяти, что дает небольшой шанс на его извлечение до завершения процесса dispci.exe. На скриншоте ниже можно заметить, что, хотя переменная dc_pass (которая будет передана драйверу) будет безопасно стерта после использования, это не относится к переменной rand_str, которая содержит копию пароля.

Псевдокод процедуры, которая генерирует пароль и шифрует разделы диска

Шифрование файлов

Как мы уже писали, троянец использует типичную схему шифрования файлов. Он генерирует случайную строку длиной 32 байта и использует ее в алгоритме деривации ключа. К сожалению, при создании этой строки используется функция CryptGenRandom.

Алгоритм деривации ключа

Зашифрованный пароль вместе с информацией о зараженной системе записывается в файл Readme как «personal installation key#2».

Интересный факт: зловред не шифрует файлы с атрибутом «Только для чтения».

Возможность восстановления файлов

Мы обнаружили, что Bad Rabbit не удаляет теневые копии файлов после их шифрования. Это означает, что если служба теневого копирования была включена до заражения и полное шифрование диска по какой-то причине не произошло, жертва может восстановить зашифрованные файлы, используя стандартные средства Windows или сторонние утилиты.

Теневые копии, незатронутые Bad Rabbit

Эксперты «Лаборатории Касперского» подробно анализируют шифровальщик, чтобы найти возможные недостатки в его криптографических алгоритмах.

Корпоративным клиентам «Лаборатории Касперского» рекомендуется:

• проверить, что все механизмы включены согласно рекомендациям; отдельно проследить, чтобы не были выключены компоненты KSN и «Мониторинг системы» (они активны по умолчанию);
• оперативно обновить антивирусные базы.

Этого должно быть достаточно. Но в качестве дополнительных мер предосторожности мы советуем:

• запретить в Kaspersky Endpoint Security выполнение файлов C:Windowsinfpub.dat и C:Windowscscc.dat.
• настроить и включить режим «Запрет по умолчанию» в компоненте «Контроль запуска программ» в Kaspersky Endpoint Security.

Продукты «Лаборатории Касперского» определяют эту угрозу как:

• Trojan-Ransom.Win32.Gen.ftl
• Trojan-Ransom.Win32.BadRabbit
• DangerousObject.Multi.Generic
• PDM:Trojan.Win32.Generic
• Intrusion.Win.CVE-2017-0147.sa.leak

http://1dnscontrol[.]com/
— install_flash_player.exe
— C:Windowsinfpub.dat
— C:Windowsdispci.exe

style="font-family: Consolas,Monaco,monospace;">

Всем привет! Буквально на днях в России и Украине, Турции, Германии и Болгарии началась масштабная хакерская атака новым вирусом-шифровальщиком Bad Rabbit, он же Diskcoder.D. Шифровальщик на данный момент атакует корпоративные сети больших и средних организаций, блокируя все сети. Сегодня мы расскажем что из себя представляет этот троян и как можно защититься от него.

Что за вирус?

Bad Rabbit (Плохой Кролик) действует по стандартной для шифровальщиков схеме: попадая в систему, он кодирует файлы, за расшифровку которых хакеры требуют 0,05 биткоина, что по курсу составляет 283$ (или 15 700 руб). Об этом сообщается отдельным окном, куда собственно и требуется вводить купленный ключ. Угроза относится к типу троянов Trojan.Win32.Generic , однако в нем присутствуют и другие компоненты, такие как DangerousObject.Multi.Generic и Ransom .Win 32.Gen . ftl .

Bad Rabbit – новый вирус шифровальщик

Полностью отследить все источники заражения пока сложно, но специалисты этим сейчас занимаются. Предположительно угроза попадает на ПК через зараженные сайты, на которых настроено перенаправление, либо под видом фейковых обновлений для популярных плагинов типа Adobe Flash. Список таких сайтов пока только расширяется.

Можно ли удалить вирус и как защититься?

Сразу стоит сказать, в данный момент все антивирусные лаборатории принялись за анализ этого трояна. Если конкретно искать информацию по удалению вируса, то её, как таковой, нет. Отбросим сразу стандартные советы – сделайте бекап системы, точку возврата, удалите такие-то файлы. Если у вас нет сохранений, то все остальное не работает, хакеры такие моменты, в силу спецификации вируса, продумали.

Я думаю, в течении скорого времени будут распространятся сделанные аматорами дешифраторы для Bad Rabbit – вестись на эти программки или нет – ваше личное дело. Как показал прошлый шифровальщик Petya, это мало кому помогает.

А вот предупредить угрозу и удалить её при попытке залезть в ПК можно. Первыми на сообщения о вирусной эпидемии отреагировали лаборатории Kaspersky и ESET, которые уже сейчас блокируют попытки проникновения. Браузер Google Chrome также начал выявлять зараженные ресурсы и предупреждать об их опасности. Вот что нужно сделать для защиты от BadRabbit в первую очередь:

1. Если вы используете для защиты Касперский, ESET, Dr.Web, либо другие популярные аналоги, то вам необходимо обязательно выполнить обновление баз данных. Также, для Касперского необходимо включить “Мониторинг активности” (System Watcher), а в ESET примените сигнатуры с обновлением 16295.

   

2. Если вы не пользуетесь антивирусами, тогда необходимо заблокировать исполнение файлов C:\Windows\infpub.dat и C:\Windows\cscc.dat . Делается это через редактор групповых политик, либо программку AppLocker для Windows.

Желательно запретить выполнение службы – Windows Management Instrumentation (WMI) . В десятке служба называется “Инструментарий управления Windows” . Через правую кнопку войдите в свойства службы и выберите в “Тип запуска” режим “Отключена” .



3. Обязательно сделайте резервную копию вашей системы. По идее, копия должна всегда храниться на подключаемом носителе. Вот небольшая видео-инструкция по её созданию.

Заключение

В завершении стоит сказать самое главное – не стоит платить выкуп, что бы у вас ни было зашифровано. Такие действия только подстрекают мошенников создавать новые вирусные атаки. Отслеживайте форумы антивирусных компаний, которые, я надеюсь, в скором времени изучат вирус Bad Rabbit и найдут эффективную таблетку. Обязательно выполните вышеописанные пункты по защите вашей ОС. В случае сложностей в их выполнении, отпишитесь в комментариях.

Конец октября этого года был ознаменован появлением нового вируса, который активно атаковал компьютеры корпоративных и домашних пользователей. Новый вирус является шифровальщиком и называется Bad Rabbit, что в переводе означает плохой кролик. С помощью этого вируса были атакованы сайты нескольких российских средств массовой информации. Позже вирус был обнаружен и в информационных сетях украинских предприятий. Там были атакованы информационные сети метрополитена, различных министерств, международных аэропортов и прочее. Немного позже аналогичная вирусная атака наблюдалась в Германии и Турции, хотя ее активность была существенно ниже, нежели на Украине и в России.

Вредоносный вирус представляет собой специальный плагин, который после попадания на компьютер, производит шифрование его файлов. После того, как информация была зашифрована, злоумышленники пытаются получить вознаграждение от пользователей за расшифровку их данных.

Распространение вируса

Специалисты лаборатории по разработке антивирусных программ ESET проанализировали алгоритм работы пути распространения вируса и пришли к выводам, что он является модифицированным вирусом, который не так давно распространялся, как вирус Petya.

Специалисты лаборатории ESET вычислили, что распространение вредоносных плагинов производилось с ресурса 1dnscontrol.com и IP-адреса IP5.61.37.209. С эти доменом и IP также связаны еще несколько ресурсов, среди которых secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.

Специалистами было расследовано, что владельцами этих сайтов зарегистрировано множество различных ресурсов, например, такие через которые, с помощью спам рассылки пытаются реализовать контрафактные медикаменты. Специалисты ESET не исключают, что именно с помощью этих ресурсов, используя спам рассылку и фишинг, и была осуществлена основная кибератака.

Как происходит заражение вирусом Bad Rabbit

Специалистами лаборатории компьютерной криминалистики проводилось расследование, каким образом вирус попадал на компьютеры пользователей. Было выявлено, что в большинстве случаев вирус-шифровальщик Bad Rabbit распространялся, как обновление к Adobe Flash. То есть вирус не использовал какие-либо уязвимости операционной системы, а устанавливался самими пользователями, которые, не ведая об этом, одобряли его установку, думая, что они обновляют плагин Adobe Flash. Когда вирус попадал в локальную сеть, он производил кражу из памяти логинов и паролей и самостоятельно распространялся на другие компьютерные системы.

Как хакеры вымогают деньги

После того как вирус-шифровальщик был установлен на компьютере он производит шифрование хранимой информации. Далее пользователи получают сообщение, в котором указывается, что для того чтобы получить доступ к своим данным следует выполнить платеж на указанном сайте в даркнете. Для этого изначально нужно установить специальный браузер Tor. За то, что компьютер будет разблокирован, злоумышленники вымогают оплату в сумме 0,05 биткоина. На сегодняшний день, по цене за 1 Bitcoin 5600 долларов, это приблизительно составляет 280 долларов за разблокировку компьютера. На то чтобы произвести оплату пользователю предоставляется временной срок равный 48-ми часам. По истечению этого срока, если требуемая сумма не была переведена на электронный счет злоумышленника, сумма увеличивается.

Как защититься от вируса

1. Чтобы защитить себя от заражения вирусом Bad Rabbit следует заблокировать доступ из информационной среды к указанным выше доменам.
2. Для домашних пользователей нужно произвести обновление текущей версии Windows а также антивирусной программы. В таком случае вредоносный файл будет детектироваться, как вирус вымогатель, что исключит возможность его установки на компьютере.
3. Те пользователи, которые используют встроенный антивирус операционной системы Windows, уже имеют защиту от этих вымогателей. Она реализована в приложении Windows Defender Antivirus.
4. Разработчики антивирусной программы из лаборатории Касперского советуют всем пользователям периодически делать бэкап своих данных. Кроме этого специалисты рекомендуют блокировать выполнение файлов c:\windows\infpub.dat, c:\WINDOWS\cscc.dat, а также, если есть возможность, то нужно запретить использование WMI-сервиса.

Заключение

Каждый из пользователей компьютера должен помнить, что кибербезопасность при работе в сети должна быть на первом месте. Поэтому всегда нужно следить за использованием только проверенных информационных ресурсов и аккуратно использовать электронную почту и социальные сети. Именно через эти ресурсы наиболее часто и осуществляется распространение различных вирусов. Элементарные правила поведения в информационной среде позволят исключить проблем, которые возникают при вирусной атаке.

24 октября российские СМИ, а также транспортные компании и государственные учреждения Украины подверглись атаке шифровальщика Bad Rabbit («Плохой кролик»). По данным открытых источников, в числе пострадавших Киевский метрополитен, аэропорт Одессы, Министерство инфраструктуры Украины, редакции «Интерфакса» и «Фонтанки».

По данным вирусной лаборатории ESET, в атаке на Киевский метрополитен использовалось вредоносное ПО Diskcoder.D - новая модификация шифратора, известного как Petya.

Специалисты по информационной безопасности из Group-IB установили, что атака готовилась несколько дней. В ESET предупреждают, что шифровальщик проникает в компьютер через поддельное обновление плагина Adobe Flash. После этого он заражает ПК и шифрует файлы на нем. Затем на мониторе появляется сообщение о том, что компьютер заблокирован, а для расшифровки файлов необходимо зайти на сайт Bad Rabbit - caforssztxqzf2nm.onion через браузер Tor.

Эпидемии шифровальщиков WannaCry и NotPetya показали, что необходимо вовремя обновлять установленные программы и систему, а также делать резервные копии, чтобы не остаться без важной информации после атаки вирусов.

Однако, если заражение произошло эксперты из Group-IB не рекомендуем платить выкуп, так как:

• таким образом вы помогаете преступникам;
• у нас нет доказательств, что данные тех, кто заплатил, были восстановлены.

Как защитить компьютер от заражения Bad Rabbit?

Чтобы не стать жертвой новой эпидемии Bad Rabbit («Плохой кролик»), специалисты «Лаборатории Касперского» рекомендуют сделать следующее:

Для пользователей антивирусных решений «Лаборатории Касперского»:

• Проверьте, включены ли в вашем защитном решении компоненты Kaspersky Security Network и «Мониторинг активности» (он же System Watcher). Если нет - обязательно включите.

Для тех, кто не пользуется антивирусными решениями «Лаборатории Касперского».

Bad Rabbit – это вирус, относящийся к шифрующим вирусам-вымогателям. Появился он совсем недавно и нацелен главным образом на компьютеры пользователей России и Украины, а также частично Германии и Турции.

Принцип работы вирусов-шифровальщиков всегда один: попадая на компьютер, вредоносная программа шифрует файлы системы и данные пользователя, блокируя доступ к компьютеру посредством пароля. Все, что отображается на экране, – это окно вируса, требования злоумышленника и номер счета, на который тот требует перевести деньги для разблокировки. После массового распространения криптовалют стало популярно требовать выкуп именно в биткоинах, поскольку операции с ними крайне сложно отследить со стороны. Также поступает и Bad Rabbit. Он использует уязвимости операционной системы, в частности в Adobe Flash Player, и проникает под видом обновления для него.

После заражения BadRabbit создает в папке Windows файл infpub.dat, который создает остальные файлы программы: cscc.dat и dispci.exe, которые вносят свои изменения в настройки MBR диска пользователя и создают свои задачи подобно Планировщику задач. Эта вредоносная программа имеет свой персональный сайт для оплаты выкупа, пользуется сервисом шифрования DiskCryptor, шифрует методами RSA-2048 и AE, а также отслеживает все устройства, подключенные к данному компьютеру, пытаясь заразить и их тоже.

Согласно оценке Symantec вирус получил статус низкой угрозы, а также по утверждению специалистов был создан теми же разработчиками, что и вирусы, обнаруженные за пару месяцев до Bad Rabbit, NotPetya и Petya, поскольку имеет схожие алгоритмы работы. Впервые шифровальщик Bad Rabbit появился в октябре 2017 года и первыми его жертвами стали интернет-газета «Фонтанка», ряд СМИ и сайт информационного агентства «Интерфакс». Компания «Билайн» также была подвержена атаке, но угрозу удалось вовремя предотвратить.

Примечание: К счастью, на данный момент программы по обнаружению подобных угроз уже более эффективны, чем раньше, и риск заражения этим вирусом снизился.

Удаление вируса Bad Rabbit

Восстановление загрузчика

Как и в большинстве случаев подобного типа, для устранения угрозы можно попробовать восстановить загрузчик Windows. В случае с Windows 10 и Windows 8 для этого необходимо подключить установочный дистрибутив системы на USB или DVD, и, загрузившись с него, перейти к опции «Исправление вашего компьютера». После этого нужно перейти в «Устранение неполадок» и выбрать «Командную строку».

Теперь осталось ввести команды одну за другой, каждый раз нажимая Enter после ввода очередной команды:

1. bootrec /FixMbr
2. bootrec /FixBoot
3. bootrec /ScanOs
4. bootrec /RebuildBcd

После проведенных операций – выход и перезагрузка. Чаще всего этого хватает для решения проблемы.
Для Windows 7 действия те же, только там «Командная строка» находится в «Опциях системного восстановления» на установочном дистрибутиве.

Устранение вируса через Безопасный режим

Для использования этого способа необходимо войти в безопасный режим с поддержкой сети. Именно с поддержкой сети, а не простой Безопасный режим. В Windows 10 это можно сделать опять же через установочный дистрибутив. Загрузившись с него, в окне с кнопкой «Установить» необходимо нажать комбинацию из клавиш Shift+F10 и в поле ввести:

bcdedit /set {default} safeboot network

В Windows 7 можно просто несколько раз прожать F8 во время включения компьютера и в появившемся меню выбрать этот режим загрузки из списка.
После входа в безопасный режим главная цель – просканировать операционную систему на наличие угроз. Сделать это лучше через проверенные временем утилиты, такие как Reimage или Malwarebytes Anti-Malware.

Устранение угрозы с помощью Центра восстановления

Для использования данного способа необходимо снова задействовать «Командную строку», как из инструкции выше, а после ее запуска ввести cd restore и подтвердить нажатием Enter. После этого нужно ввести rstrui.exe. Откроется окно программы, в котором можно вернуться на предыдущую точку восстановления, предшествующую заражению.