'Bad Rabbit' - nowy ransomware grasuje po Rosji i Ukrainie

[al]

Ataki z wykorzystaniem szkodnika Bad Rabbit są wycelowane w sieci korporacyjne. Ofiary znajdują się przede wszystkim w Rosji i Ukrainie.

Wiosną zaatakował

Zaloguj lub Zarejestruj się aby zobaczyć!

, na początku lata pojawił się NotPetya, a teraz, jesienią, komputery infekuje kolejny szkodnik z gatunku

Zaloguj lub Zarejestruj się aby zobaczyć!

, który otrzymał nazwę Bad Rabbit. Złośliwe oprogramowanie, które żąda okupu w zamian za odblokowanie dostępu do zaszyfrowanych wcześniej plików na urządzeniu ofiary, ujawniło już swoją obecność na ekranach około 200 ofiar w Turcji, Niemczech i – przede wszystkim – Rosji i Ukrainie.

To właśnie ze wschodu dotarły pierwsze informacje o nowym zagrożeniu. Zdołało ono bowiem wedrzeć się do komputerów portu lotniczego w Odessie, kijowskiego metra, ukraińskiego Ministerstwa Infrastruktury, a także rosyjskich przedsiębiorstw Interfax i Fontanka. Specjaliści od cyberbezpieczeństwa z firm Kaspersky Lab, ESET i Proofpoint twierdzą, że infekcja dokonuje się przez fałszywą aktualizację Adobe Flash (podobnie jak zarażane były, choć innym szkodnikiem,

Zaloguj lub Zarejestruj się aby zobaczyć!

).

Zaloguj lub Zarejestruj się aby zobaczyć!

Zaloguj lub Zarejestruj się aby zobaczyć!

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[Zeno]

Kaspersky w kwestii Bad Rabbit:

Nasi badacze zgromadzili wystarczająco wiarygodny dowód, aby powiązać atak Bad Rabbit z atakiem ExPetr, który miał miejsce w czerwcu tego roku: analiza wykazała podobieństwo kodu użytego w zagrożeniu Bad Rabbit z kodem zagrożenia ExPetr.
Wśród innych podobieństw znalazła się ta sama lista domen użytych do ataku drive-by (część z nich zhakowano w czerwcu, lecz nie zostały one użyte), jak również te same techniki użyte do rozprzestrzeniania szkodliwego oprogramowania poprzez sieci firmowe — w obu atakach wykorzystano do tego celu narzędzie Windows Management Instrumentation Command-line (WMIC). Istnieje jednak jedna różnica: Bad Rabbit nie wykorzystuje exploita EternalBlue — ani żadnego innego.

i kwestii ochrony przed Bad Rabbit:

Aby nie paść ofiarą ataku Bad Rabbit, zalecamy:
Dla użytkowników rozwiązań bezpieczeństwa Kaspersky Lab:

• Upewnij się, że moduły Kaspersky Security Network oraz Kontrola systemu są aktywne. Funkcje te są domyślnie włączone.

Dla tych, którzy nie korzystają z rozwiązań zabezpieczających firmy Kaspersky Lab:

• Zablokuj możliwość uruchamiania pików: c:\windows\infpub.dat, C:\Windows\cscc.dat.
• Wyłącz (jeśli jest to możliwe) korzystanie z systemowej usługi WMI, aby zapobiec rozprzestrzenianiu się szkodnika w Twojej sieci.

Dla wszystkich użytkowników:

• Zadbaj o wykonanie kopii zapasowej danych.
• Nie płać okupu.

więcej:

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[al]

O to się Kaspersky postarał dając takie rady.

Coś konkretnego:

First, create these two files in c:\windows:

infpub.dat
cscc.dat

You can do that really quickly by starting cmd.exe as an admin:

Then type the following commands:
echo “” > c:\windows\cscc.dat&&echo “” > c:\windows\infpub.dat

Next, remove all their permissions by right clicking each file and selecting properties:

Then select the security tab:

Now click advanced, opening the following window:

Click change permissions, opening the following window:

Then, uncheck the “Include inheritable permissions from this object’s parents” box.
After you do that, the following window will pop up. Click “remove”.

You are now done. Remember to perform this action for the two files you created.

If you are running Windows 10, repeat the same steps but instead of unchecking the inheritance box, click the “disable inheritance button”:

And then select “Remove all inherited permissions from this object":

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[MLJ]

Dla świętego spokoju podpiąłem marchewkę pod USB