Mokymai

Naujas virusas - „Bad Rabbit“

2017-10-25

Antradienį, spalio 24 d. užfiksuotas naujo pavojingo kenkimo kodo plitimas. Jis priklauso išpirkos reikalaujančių virusų (angl. ransomware) grupei ir pavadintas „Bad Rabbit“.

Plitimo būdas

Turimais duomenimis, virusas platinamas per užvaldytas svetaines, patalpinant jose nuorodą į savo kodą, kuris apgaulingai informuoja naudotoją apie neva naują „Adobe“ „Flash“ grotuvo versiją. Jei asmuo aktyvuoja „atnaujinimą“, „Bad Rabbit“ gali užvaldyti įrenginį. Užkrėtęs vieną įrenginį, toliau vietiniu tinklu gali plisti per SMB/Samba, WMI ir WebDAV paslaugas (panašiai, kaip tai darė jo pirmtakai: kenkimo kodai „WannaCry“, „Petya“, „NotPetya“). Šiuo metu viruso aukos yra daugiausia Rusijos ir Ukrainos piliečiai ar įmonės.

Kai kurios ypatybės

„Bad Rabbit“ perrašo MBR (angl. Master Boot Record) įrašą, kuris valdo operacinės sistemos paleidimo pradžią. Failų šifravimui naudoja tikrą (ne kenkimo) programą „DiskCryptor“. Kai kuriais atvejais prašo naudotojo „išjungti antiviruso apsaugą“, išvalo „Windows“ žurnalo įrašus (angl. event logs). Taip pat prideda užduotis (angl. scheduled tasks), pavadintas drogon, rhaegal. Viruso infrastruktūros dalys (pvz., svetainės, dalyvaujančios platinime) pastebėtos keliose ES šalyse.

Pagal spalio 25 d. duomenis, CERT-LT padalinys nebuvo užfiksavęs susijusių incidentų Lietuvoje. Rekomenduojame:

  • Įdiegti operacinės sistemos naujinius.

  • Kompiuterių naudotojams – būti atidiems, neaktyvuoti naršymo metu atsiradusių pranešimų apie „atnaujinimus“.

  • Jei „SMB/Samba“ paslauga nenaudojama, blokuoti ją.

  • „Windows“ šeimos operacinėse sistemose naudoti „Credential Guard“.

  • Turėti ir atnaujinti antivirusines programas.

  • Įgyvendinti „gerąsias praktikas“ saugumo ir paskyrų administravimo srityse.

  • Reguliariai daryti atsargines duomenų kopijas, saugomas prie tinklo neprijungtuose įrenginiuose ar laikmenose.

  • Tinkamai atskirti vidinius tinklus.

  • Įgyvendinti „anti-ransomware“ sprendimus.

  • Išjungti WMI paslaugą, jei ji nenaudojama.

  • Vidinių tinklų administratoriams apriboti prieigą administravimui iš išorinio tinklo.

Galimos „vakcinos“ priemonės (tikėtina, „Bad Rabbit“ manys, kad sistema jau užkrėsta):

  • sukurti failus c:\windows\infpub.dat ir c:\windows\cscc.dat;

  • nurodytiems failams pašalinti visas NTFS teises.

 

Papildoma informacija:

Visi pranešimai