Как работает вирус-шифровальщик BadRabbit

0 184
0


Новый вирус-шифровальщик BadRabbit ("Плохой кролик") во вторник атаковал сайты ряда российских СМИ. В частности, атакам подверглись информационные системы агентства "Интерфакс", а также сервер петербургского новостного портала "Фонтанка".

После полудня BadRabbit начал распространяться на Украине — вирус поразил компьютерные сети Киевского метрополитена, министерства инфраструктуры, международного аэропорта Одессы. Похожие атаки наблюдаются в Турции и Германии, хотя и в значительно меньшем количестве. объясняет, что это за вирус, как от него уберечься и кто может за ним стоять.

BadRabbit — это вирус-шифровальщик

Вредоносная программа заражает компьютер, шифруя на нем файлы. Для получения доступа к ним вирус предлагает совершить платеж на указанном сайте в даркнете (для этого потребуется браузер Tor). За разблокировку каждого компьютера хакеры требуют заплатить 0,05 биткойна, то есть примерно 16 тыс. рублей или $280. На выкуп отводится 48 часов — после истечения этого срока сумма увеличивается.

По данным лаборатории компьютерной криминалистики компании Group-IB, вирус-шифровальщик пытался атаковать не только российские СМИ, но и российские банки из топ-20, однако ему это не удалось.

Это модификация старого вируса

По данным вирусной лаборатории ESET, в атаке использовалось вредоносное программное обеспечение Diskcoder.D — новая модификация шифратора, известного как Petya. Предыдущая версия Diskcoder была задействована в кибератаке в июне 2017 года. В Group-IB считают, что вирус BadRabbit мог написать автор NotPetya (это обновленная версия "Пети" 2016 года) или его последователь.
"Раздача вредоносного ПО проводилась с ресурса 1dnscontrol.com. Он имеет IP 5.61.37.209, с этим доменным именем и IP-адресом связаны следующие ресурсы: webcheck01.net, webdefense1.net, secure-check.host, firewebmail.com, secureinbox.email, secure-dns1.net", — рассказали в Group-IB. В компании отметили, что на владельцев этих сайтов зарегистрировано множество ресурсов, например, так называемые фарм-партнерки — сайты, которые через спам продают контрафактные медикаменты. "Не исключено, что они использовались для рассылки спама, фишинга", — добавили в компании.

По материалам: http://tass.ru/ekonomika/4675492

Нашли ошибку? Выделите текст и нажмите Ctrl+Enter, чтобы сообщить нам о ней.

Похожие новости

Добавить комментарий

Войдите с помощью соцсети.
Или комментируйте как гость. Политика конфиденциальности

  • ah1n1angelangryapplausebazarbeatbeer2
    beerblindbokaliboyanbravoburumburumbye
    callcarchihcrazycrycup_fullcvetok
    dadadancedeathdevildraznilkadrinkdrunk
    druzhbaedaelkafingalfoofootballfuck
    girlkisshammerhearthelphughuhhypnosis
    killkissletsrocklollooklovemmmm
    moneymoroznevizhuniniomgparikphone
    podarokpodmigpodzatylnikpokapomadapopaprey
    privetprostitequestionroflroseshedevrshock
    silaskuchnosleepysmehsmilesmokesmutili
    snegurkaspasibostenastopsuicidetitstort
    tostuhmylkaumnikunsmileuravkaskewakeup
    whosthatyazykzlozombobox

Выбор редакции