Bad Rabbit (Плохой кролик) — вирус-шифровальщик, разработанный для операционной системы Windows и обнаруженный 24 октября 2017 года.
- Первое обнаружение 11:17 (МСК) утра 24 октября
- Распространение происходила через скомпрометированные легитимные источники
- Первое упоминание в СМИ в 24 октября, 16:27 (МСК)
- Первые технические детали и индикаторы компрометации появились 24 октября 21:16 (МСК), вместе с антивирусными сигнатурами
- Основной интерес к Bad Rabbit: был 25 октября
- 26 октября «операция» Bad Rabbit была свернута
- Время реакции антивирусных лабораторий значительно изменилось, с 1-2 часов до 8-12 (оптимистическая цифра).
- В СМИ индикаторов компрометации 4, в публичных источниках 4-7
IOC (Indicator of Compromise)
URL
- http://1dnscontrol.com/
MD5
- fbbdc39af1139aebba4da004475e8839 (install_flash_player.exe)
- 1d724f95c61f1055f0d02c2154bbccd3 (C:\windows\infpub.dat)
- b14d8faf7f0cbcfad051cefe5f39645f (C:\windows\dispci.exe)
SHA256
- 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da (install_flash_player.exe)
- 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93 (C:\Windows\dispci.exe)
- 579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648 (C:\windows\infpub.dat)
- 682ADCB55FE4649F7B22505A54A9DBC454B4090FC2BB84AF7DB5B0908F3B7806 (C:\windows\cscc.dat) [32 drv]
- 0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6 (C:\windows\cscc.dat) [64 drv]
- 2f8c54f9fa8e47596a3beff0031f85360e56840c77f71c6a573ace6f46412035 (mimikatz x86)
- 301b905eb98d8d6bb559c04bbda26628a942b2c4107c07a02e8f753bdcfe347c (mimikat x64)
