Вирус Bad Rabbit маскируется под инсталлятор Adobe Flash Player

«Лаборатория Касперского» рассказала подробности о новом вирусе-вымогателе Bad Rabbit («Плохой кролик»), который был обнаружен ранее на этой неделе и уже успел нарушить работу некоторых российских компаний.

Согласно наблюдениям экспертов, зловред распространяется через drive-by загрузки с зараженных сайтов, и эксплуатации каких-либо уязвимостей в данном случае не происходит. Жертва должна сама вручную запустить вредоносный дроппер, замаскированный под инсталлятор Adobe Flash Player.

Данные телеметрии показали, что дроппер Bad Rabbit загружается с домена 1dnscontrol в зоне .com. Потенциальная жертва попадает на этот ресурс через редиректы, установленные на взломанных сайтах.

Как показало исследование, в схеме распространения нового шифровальщика задействован ряд скомпрометированных сайтов, принадлежащих новостным изданиям и СМИ. Большинство жертв Bad Rabbit находятся в России, зафиксированы также случаи заражения на Украине, в Турции и Германии.

Для корректной работы дропперу нужны права администратора, которые он пытается получить с помощью стандартной подсказки службы UAC.

При активации дроппер сохраняет вредоносную DLL как C:\Windows\infpub.dat и запускает ее на исполнение, используя rundll32. Модуль infpub.dat, по всей видимости, способен проводить брутфорс-атаки на другие Windows-компьютеры в локальной сети, используя идентификаторы, украденные с зараженной машины, и вшитый список логинов и паролей. Основное назначение компонента infpub.dat — шифрование файлов жертвы, которое он осуществляет, руководствуясь списком расширений. При этом, по данным «Лаборатории Касперского», используется открытый 2048-битный ключ RSA.

Анализ показал, что infpub.dat также устанавливает вредоносный файл dispci.exe в папку Windows и создает задачу для его запуска. Этот исполняемый файл, как обнаружили исследователи, является производным легитимной утилиты DiskCryptor. Он шифрует диск и устанавливает модифицированный загрузчик ОС, чем препятствует нормальному старту системы.

Как отмечают эксперты «Лаборатории Касперского», сообщение Bad Rabbit с требованием выкупа явно позаимствовано у вируса ExPetr (также известен как Petya и NotPetya), эпидемия которого была зафиксирована ранее в этом году. Размер выкупа составляет 0,05 биткойна, через 40 с небольшим часов эта сумма увеличивается. Сайт злоумышленников, фиксирующий платежи, размещен в сети Tor.

Примечательно, что некоторые строки кода Bad Rabbit содержат имена персонажей популярного телесериала «Игра престолов».

Во избежание заражения эксперты рекомендуют незамедлительно обновить антивирусные базы и удостовериться, что все компоненты специализированной защиты включены. При отсутствии таковой можно запретить исполнение файлов по путям C:\Windows\infpub.dat и C:\Windows\cscc.dat с помощью инструментов системного администрирования.

Автор:	Softodrom.ru
Дата:	26.10.2017 13:45