drweb.com #7898696 (#badrabbit)
drweb.com #7898702 (dropper)
https://www.vedomosti.ru/technology/articles/2017/10/24/739208-virus-shifrovalschik
http://www.bbc.com/russian/news-41739756
Сообщение было изменено Dmitry Shutov: 24 Октябрь 2017 - 18:51
Новый вирус шифровальщик #BadRabbit
Автор
Dmitry Shutov
, окт 24 2017 18:46
7 ответов в этой теме
#2
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 24 Октябрь 2017 - 19:26
Добавлено, спасибо за дроппера
Личный сайт по Энкодерам - http://vmartyanov.ru/
#3
Dmitry Shutov
-
- Virus Hunters
- 1 686 Сообщений:
Poster
Отправлено 24 Октябрь 2017 - 19:31
Добавлено, спасибо за дроппера
Всегда рад помочь общему делу.
#4
TASS
-
- Posters
- 921 Сообщений:
Advanced Member
Отправлено 24 Октябрь 2017 - 20:26
Добавлено, спасибо за дроппера
Владимир, после анализа сэмпла будут ли какие-то дополнительные рекомендации по защите ПК от "Плохого Кролика"?
А чем особенно плох этот "Кролик", по сравнению с известными крипторами?
Глядя на мир, нельзя не удивляться! ©
#5
provayder
-
- Posters
- 1 742 Сообщений:
Poster
Отправлено 24 Октябрь 2017 - 21:14
Превентивка этому кролику "уши отбивает"?
#6
Konstantin Yudin
-
- Dr.Web Staff
-
- 19 552 Сообщений:
Смотрящий
Отправлено 24 Октябрь 2017 - 21:23
Мы его ловим по поведению актуальными версиями и не даём писать в mbr. Владельцам ES6 и т.п. легаси давно пора задуматься, это уже третья волна в этом году. Доколе? Первая часть похоже клон непети с юземодным шифровальщиком, вторая пишет в мбр. Так же он таскает с собой драйвер от легальной софтины DiskCryptor подписанный ReactOS, но пока не понятно в каком случае он его реально использует. Ну и похоже при установленном Dr.Web он не запускает юзермод шифрование, список проверяемых уже не из трёх элементов.
With best regards, Konstantin Yudin
Doctor Web, Ltd.
Doctor Web, Ltd.
#7
Konstantin Yudin
-
- Dr.Web Staff
-
- 19 552 Сообщений:
Смотрящий
Отправлено 24 Октябрь 2017 - 22:15
Так же большая просьба не забывать обновлять сертифицированные версии наших продуктов, кто не в курсе, мы их обновляем и ФСТЭК и МО. К сожалению приходят до сих пор с версиями от 2015 года, хотя актуальная от 2017.
With best regards, Konstantin Yudin
Doctor Web, Ltd.
Doctor Web, Ltd.
#8
Alexander13
-
- Posters
- 193 Сообщений:
Member
Отправлено 25 Октябрь 2017 - 09:51
А, вот ещё новость :
Согласно данным анализа , проведенного экспертами из Trend Micro, Bad Rabbit распространяется посредством атаки watering hole, предполагающей заражение web-сайтов, часто посещаемых потенциальными жертвами. Когда жертва попадает на зараженный сайт, ей предлагается установить поддельный Flash Player “install_flash_player.exe”. В настоящее время ссылка hxxp://1dnscontrol.com/flash_install, по которой предлагалось скачать поддельный плеер, уже неактивна.
После запуска поддельного установщика программ с помощью процесса rundll32.exe на атакуемую систему устанавливается шифровальщик infpub.dat и шифровальщик /дешифровщик dispci.exe. В ходе атаки Bad Rabbit использует три файла. Имена двух из них являются отсылкой к популярному телесериалу «Игра престолов». Файл rhaegal.job ответственен за выполнение файла дешифровщика, а drogon.job – за блокировку компьютера жертвы. Хранящиеся на системе файлы затем шифруются, а на экране появляется уведомление с требованием выкупа.
Третий файл, viserion_23.job, второй раз перезагружает систему, после чего доступ к ней блокируется, а на экран выводится еще одно уведомление с требованием заплатить выкуп за ключ для дешифровки.
Bad Rabbit инфицирует другие компьютеры в сети путем загрузки в нее своих копий и выполнения их с помощью легальных инструментов Windows Management Instrumentation (WMI) и Service Control Manager Remote Protocol. При использовании Service Control Manager Remote Protocol вредонос осуществляет атаку по словарю для получения учетных данных.
Среди других легальных инструментов, предположительно применяемых вредоносом для получения учетных данных, эксперты называют утилиту с открытым исходным кодом Mimikatz. Исследователи также обнаружили признаки использования законного инструмента DiskCryptor для шифрования файлов на атакуемых компьютерах.
По данным компании Acronis, Bad Rabbit шифрует файлы с помощью легального драйвера ядра dcrypt.sys. ПО подписано сертификатами якобы от Symantec, благодаря чему вредоносу удается обходить антивирусные решения.
В отличие от шифровальщика NotPetya, Bad Rabbit не эксплуатирует уязвимость в файл-сервере srv.sys. Кроме того, шифрование диска осуществляется без имитации работы chkdsk.exe, сообщает «РБК» со ссылкой на экспертов Acronis. По мнению исследователей, NotPetya и Bad Rabbit имеют схожие черты «на концептуальном уровне», однако сильно различаются с технологической точки зрения. Среди общих черт эксперты в частности отмечают возможность как файлового, так и дискового шифрования у обоих вредоносов.
Подробнее: http://www.securitylab.ru/news/489318.php
Согласно данным анализа , проведенного экспертами из Trend Micro, Bad Rabbit распространяется посредством атаки watering hole, предполагающей заражение web-сайтов, часто посещаемых потенциальными жертвами. Когда жертва попадает на зараженный сайт, ей предлагается установить поддельный Flash Player “install_flash_player.exe”. В настоящее время ссылка hxxp://1dnscontrol.com/flash_install, по которой предлагалось скачать поддельный плеер, уже неактивна.
После запуска поддельного установщика программ с помощью процесса rundll32.exe на атакуемую систему устанавливается шифровальщик infpub.dat и шифровальщик /дешифровщик dispci.exe. В ходе атаки Bad Rabbit использует три файла. Имена двух из них являются отсылкой к популярному телесериалу «Игра престолов». Файл rhaegal.job ответственен за выполнение файла дешифровщика, а drogon.job – за блокировку компьютера жертвы. Хранящиеся на системе файлы затем шифруются, а на экране появляется уведомление с требованием выкупа.
Третий файл, viserion_23.job, второй раз перезагружает систему, после чего доступ к ней блокируется, а на экран выводится еще одно уведомление с требованием заплатить выкуп за ключ для дешифровки.
Bad Rabbit инфицирует другие компьютеры в сети путем загрузки в нее своих копий и выполнения их с помощью легальных инструментов Windows Management Instrumentation (WMI) и Service Control Manager Remote Protocol. При использовании Service Control Manager Remote Protocol вредонос осуществляет атаку по словарю для получения учетных данных.
Среди других легальных инструментов, предположительно применяемых вредоносом для получения учетных данных, эксперты называют утилиту с открытым исходным кодом Mimikatz. Исследователи также обнаружили признаки использования законного инструмента DiskCryptor для шифрования файлов на атакуемых компьютерах.
По данным компании Acronis, Bad Rabbit шифрует файлы с помощью легального драйвера ядра dcrypt.sys. ПО подписано сертификатами якобы от Symantec, благодаря чему вредоносу удается обходить антивирусные решения.
В отличие от шифровальщика NotPetya, Bad Rabbit не эксплуатирует уязвимость в файл-сервере srv.sys. Кроме того, шифрование диска осуществляется без имитации работы chkdsk.exe, сообщает «РБК» со ссылкой на экспертов Acronis. По мнению исследователей, NotPetya и Bad Rabbit имеют схожие черты «на концептуальном уровне», однако сильно различаются с технологической точки зрения. Среди общих черт эксперты в частности отмечают возможность как файлового, так и дискового шифрования у обоих вредоносов.
Подробнее: http://www.securitylab.ru/news/489318.php
Все будет хорошо..
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых
