Bad Rabbit - это штамм вируса-шифровальщика, который впервые появился в 2017 году и является предполагаемым вариантом вируса Petya. Как и другие штаммы ransomware, вирус Bad Rabbit блокирует компьютеры, серверы или файлы жертв, не позволяя им восстановить доступ до тех пор, пока не будет выплачен выкуп - обычно в биткоинах.
Как и другие штаммы ransomware, вирус Bad Rabbit блокирует компьютеры, серверы или файлы жертв, не позволяя им восстановить доступ до тех пор, пока не будет выплачен выкуп - обычно в биткоинах.
Bad Rabbit впервые появился в 2017 году и имеет сходство со штаммами вымогательского ПО WannaCry и Petya.
Атака Bad Rabbit, замаскированная под инсталлятор Adobe Flash, распространяется через drive-by загрузки на взломанных веб-сайтах, то есть жертвы могут заразиться вирусом, просто посетив вредоносный или взломанный веб-сайт. Вредоносная программа Bad Rabbit внедряется на веб-сайты с помощью JavaScript, введенного в HTML-код сайта.
Если человек нажимает на вредоносную программу установки, BadRabbit ransomware шифрует файлы и представляет пользователям строгое черно-красное сообщение. Оно гласит, в частности: "Если вы видите этот текст, ваши файлы больше недоступны. Возможно, вы искали способ восстановить свои файлы. Не тратьте свое время".
Текст требует около 280 долларов США в биткойнах и устанавливает 40-часовой срок для оплаты. Жертвы сообщили, что оплата была произведена, но файлы были разблокированы, хотя это не всегда происходит при других атаках вымогательского ПО.
Ключевыми особенностями данной атаки являются:
- заражение клиентов при посещении взломанных легитимных сайтов
- маскировка под обновление для ПО Adobe Flash Player
- использование mimikatz для извлечения паролей привилегированных учетных записей
- непосредственно из оперативной памяти зараженных систем
- распространение в локальной сети с помощью SMB+WMI, SMB+SCM
- использование уязвимости MS17-010 (eternalromance) для распространения в локальной сети
- надежное шифрование файлов и системного раздела
- использование DiskCryptor для шифрования
- корректная процедура расшифрования при наличии ключа
Indicators of Compromise
Domains
- 1dnscontrol.com
MD5
- 1d724f95c61f1055f0d02c2154bbccd3
- 347ac3b6b791054de3e5720a7144a977
- 37945c44a897aa42a66adcab68f560e0
- b14d8faf7f0cbcfad051cefe5f39645f
- b4e6d97dafd9224ed9a547d52c26ce02
- edb72f4a46c39452d1a5414f7d26454a
- fbbdc39af1139aebba4da004475e8839
SHA1
- 08f94684e83a27f2414f439975b7f8a6d61fc056
- 16605a4a29a101208457c47ebfde788487be788d
- 413eba3973a15c1a6429d9f170f3e8287f98c21c
- 59cd4907a438b8300a467cee1c6fc31135757039
- 79116fe99f2b421c52ef64097f0f39b815b20907
- afeee8b4acff87bc469a6f0364a81ae5d60a2add
- de5c8d858e6e41da715dca1c019df0bfb92d32c0
SHA256
- 0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6
- 2f8c54f9fa8e47596a3beff0031f85360e56840c77f71c6a573ace6f46412035
- 301b905eb98d8d6bb559c04bbda26628a942b2c4107c07a02e8f753bdcfe347c
- 579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648
- 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
- 682adcb55fe4649f7b22505a54a9dbc454b4090fc2bb84af7db5b0908f3b7806
- 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93