Поразивший СМИ вирус Bad Rabbit является модифицированной версией NotPetya

В частности, как сообщали «Лаборатория Касперского» и Group-IB, атакам подверглись информационные системы агентства «Интерфакс», а кроме этого сервер петербургского новостного интернет ресурса «Фонтанка».

Профессионалы сообщили, что определенные части замеченного вчера вируса фактически на 100% повторяют части кода NotPetya.

В коде BadRabbit обнаружили специфичный участок, который совпадает с частью кода NotPetya.

В отличие от вируса NotPetya, в алгоритме Bad Rabbit поменялось число искомых имен и процессов, функция вычисления хэша при всем этом была скомпилирована в виде отбельной функции компилятора. Также выявлено, что Bad Rabbit имеет модуль распространения с применением SMB — сетевого протокола прикладного уровня для удаленного доступа к файлам, принтерам и другим сетевым ресурсам.

Кроме того, при действии сегодняшней версии применяется программа Mimikatz, она и перехватывает на «завирусованной» машине логины и пароли.

Позже стало известно, что атаке подвергся киевский метрополитен. «Также мы наблюдаем идентичные атаки в Украинском государстве, в Турции и Германии, однако в значительно меньшем количестве», — объявил РИА Новости управляющий отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский. На скомпрометированные ресурсы в HTML-код атакующими был загружен JavaScript-инжект, который показывал гостям поддельное окно, предлагающее установить обновление Adobe Flash проигрывателя, поведали в Group-IB. На скомпрометированные ресурсы в HTML-код атакующими был загружен JavaScript-инжект, который показывал гостям поддельное окно, предлагающее установить обновление Adobe Flash проигрывателя.

После того, как пользователь соглашался на обновление, происходило скачивание и запуск вредоносного файла, а кроме этого заражение хоста.

После заражения вредоносное ПО повышало привилегии на локальной машине. На сайте необходимо ввести персональный ключ, после этого появится биткоин-кошелек. Также на странице сайта идет отсчет времени до увеличения ценовой политики выкупа. Затем, даже в случае заражения, файлы не будут зашифрованы.

Эпидемия вируса Bad Rabbit отступила новые подробности атаки

Поделиться в соц. сетях:

Опубликовать в Google Buzz
Опубликовать в Google Plus
Опубликовать в LiveJournal
Опубликовать в Мой Мир
Опубликовать в Одноклассники
Опубликовать в Яндекс