Вирус-шифровальщик Bad Rabbit проникал в компьютеры с помощью ложного обновления Flash Player. К такому выводу пришли эксперты антивирусной компании ESET.
На рабочем столе появлялось всплывающее окно с предложением загрузить обновление для Flash Player. Когда пользователь пытался его установить, запускался шифратор Win32/Diskcoder.D, получивший название Bad Rabbit. Далее файлы на компьютере шифровались, а на экране появлялось требование выкупа в размере 0,05 биткоина (около 17 тысяч рублей). При этом вирус, заразив один компьютер, распространялся внутри корпоративной сети через протокол SMB.
Bad Rabbit – это модифицированная версия программы Win32/Diskcoder.C, более известного как Petya/NotPetya. В отличие от своего предшественника он не использует эксплойт EthernalBlue, а вместо этого сканирует сеть на предмет открытых сетевых ресурсов, передает РИА Новости. Кроме того, в новом вирусе исправлены ошибки в шифровании файлов.
"Теперь шифрование осуществляется с помощью DiskCryptor – легитимного ПО с открытым исходным кодом, предназначенного для шифрования логических дисков, внешних USB-накопителей и образов CD/DVD, а также загрузочных системных разделов диска", — пояснили в ESET.
Ключи генерируются с использованием CryptGenRandom и защищены жестко закодированным открытым ключом.
24 октября "Плохой кролик" атаковал компьютерные системы нескольких российских СМИ, в частности "Интерфакс" и "Фонтанку". Нападению вируса-вымогателя подвергся Киевский метрополитен и Одесский аэропорт. Для того чтобы защититься от "Кролика", нужно создать файл C:windowsinfpub.dat и поставить доступ "Только для чтения", открыв в "Проводнике" папку "Свойства". Bad Rabbit не сможет зашифровать файлы даже в случае заражения компьютера.