Bad Rabbit Ransomware IOCs

ransomware IOC

Bad Rabbit - это штамм вируса-шифровальщика, который впервые появился в 2017 году и является предполагаемым вариантом вируса Petya. Как и другие штаммы ransomware, вирус Bad Rabbit блокирует компьютеры, серверы или файлы жертв, не позволяя им восстановить доступ до тех пор, пока не будет выплачен выкуп - обычно в биткоинах.

Как и другие штаммы ransomware, вирус Bad Rabbit блокирует компьютеры, серверы или файлы жертв, не позволяя им восстановить доступ до тех пор, пока не будет выплачен выкуп - обычно в биткоинах.

Bad Rabbit впервые появился в 2017 году и имеет сходство со штаммами вымогательского ПО WannaCry и Petya.

Атака Bad Rabbit, замаскированная под инсталлятор Adobe Flash, распространяется через drive-by загрузки на взломанных веб-сайтах, то есть жертвы могут заразиться вирусом, просто посетив вредоносный или взломанный веб-сайт. Вредоносная программа Bad Rabbit внедряется на веб-сайты с помощью JavaScript, введенного в HTML-код сайта.

Если человек нажимает на вредоносную программу установки, BadRabbit ransomware шифрует файлы и представляет пользователям строгое черно-красное сообщение. Оно гласит, в частности: "Если вы видите этот текст, ваши файлы больше недоступны. Возможно, вы искали способ восстановить свои файлы. Не тратьте свое время".

Текст требует около 280 долларов США в биткойнах и устанавливает 40-часовой срок для оплаты. Жертвы сообщили, что оплата была произведена, но файлы были разблокированы, хотя это не всегда происходит при других атаках вымогательского ПО.

Ключевыми особенностями данной атаки являются:

  • заражение клиентов при посещении взломанных легитимных сайтов
  • маскировка под обновление для ПО Adobe Flash Player
  • использование mimikatz для извлечения паролей привилегированных учетных записей
  • непосредственно из оперативной памяти зараженных систем
  • распространение в локальной сети с помощью SMB+WMI, SMB+SCM
  • использование уязвимости MS17-010 (eternalromance) для распространения в локальной сети
  • надежное шифрование файлов и системного раздела
  • использование DiskCryptor для шифрования
  • корректная процедура расшифрования при наличии ключа

Indicators of Compromise

Domains

  • 1dnscontrol.com

MD5

  • 1d724f95c61f1055f0d02c2154bbccd3
  • 347ac3b6b791054de3e5720a7144a977
  • 37945c44a897aa42a66adcab68f560e0
  • b14d8faf7f0cbcfad051cefe5f39645f
  • b4e6d97dafd9224ed9a547d52c26ce02
  • edb72f4a46c39452d1a5414f7d26454a
  • fbbdc39af1139aebba4da004475e8839

SHA1

  • 08f94684e83a27f2414f439975b7f8a6d61fc056
  • 16605a4a29a101208457c47ebfde788487be788d
  • 413eba3973a15c1a6429d9f170f3e8287f98c21c
  • 59cd4907a438b8300a467cee1c6fc31135757039
  • 79116fe99f2b421c52ef64097f0f39b815b20907
  • afeee8b4acff87bc469a6f0364a81ae5d60a2add
  • de5c8d858e6e41da715dca1c019df0bfb92d32c0

SHA256

  • 0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6
  • 2f8c54f9fa8e47596a3beff0031f85360e56840c77f71c6a573ace6f46412035
  • 301b905eb98d8d6bb559c04bbda26628a942b2c4107c07a02e8f753bdcfe347c
  • 579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648
  • 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
  • 682adcb55fe4649f7b22505a54a9dbc454b4090fc2bb84af7db5b0908f3b7806
  • 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93
SEC-1275-1
Добавить комментарий