Вирус «Плохой кролик» атаковал российские банки из топ-20

Хакеры, создавшие вирус-шифровальщик BadRabbit (англ. «Плохой кролик») атаковали ряд российских банков. Об этом сообщает РИА Новости со ссылкой на компанию Group-IB, занимающейся предотвращением и расследованием киберпреступлений.

«Group-IB зафиксировала попытки заражения вирусом инфраструктур ряда российских банков, которые используют систему обнаружения вторжений компании. Эти файлы приходили туда во вторник с 13.00 до 15.00 по Москве. То есть на банки этот вирус тоже пытались распространить», — сказал генеральный директор компании Илья Сачков.

По его словам, можно установить, кто совершил атаку. «Доменное имя было зарегистрировано еще в 2016 году, кто-то его оплачивает, с ним связано еще несколько вредоносных доменов. Люди, которые их создавали, действовали еще с 2011 года», — отметил эксперт.

«На момент распространения вируса антивирусы его не детектировали. Злоумышленники не дураки — когда они что-то запускают, они тестируют вирус на большинстве антивирусных программ. В 2017 году нужно извлекать из этого уроки и уметь себя защищать. Компании, которые извлекли технические уроки после летних атак, почти не пострадали», — заключил Сачков.

Также специалисты установили, что BadRabbit — это модифицированная версия вируса NotPetya, который поразил IT-системы компаний в нескольких странах в июне.

В Group-IB рассказали, как избежать заражения вирусом-шифровальщиком BadRabbit. По словам экспертов, надо создать файл C:\windows\infpub.dat и поставить ему права «только для чтения». После этого даже в случае заражения файлы не будут зашифрованы.

Также специалисты посоветовали оперативно изолировать компьютеры, указанные в тикетах (события в системе обнаружения вторжений). Также рекомендуется проверить актуальность и целостность резервных копий ключевых сетевых узлов. Пользователям ПК следует обновить операционные системы и системы безопасности.

Атаки были зафиксированы 24 октября. Им подверглись российские банки и некоторые СМИ, а также метрополитен Киева и Одесский аэропорт. Кроме того, новая волна вируса-шифровальщика затронула компании в Турции и в Германии. В целом, по всему миру зафиксировали почти 200 атак.

В атаке используется программа Mimikatz, которая перехватывает на зараженной машине логины и пароли. Также в коде имеются уже прописанные логины и пароли для попыток получения административного доступа.

За разблокировку девайсов хакеры предлагают заплатить 0,5 биткоина (примерно 15700 рублей).