Специалисты рассказали, что за вирус Bad Rabbit и откуда он взялся

25 октября – ИА «Ньюс». Накануне вирус Bad Rabbit атаковал ряд российских СМИ. Однако одними новостными ресурсами «кролик» не ограничился. Под удар попали аэропорт Одессы, киевское метро, компании Германии и Турции. После этого была попытка атаки ряда российских банков из топ-20, но те сумели ее отбить.

Международная компания Group-IB, занимающаяся расследованием киберпреступлений, уже определила доменное имя сайта, с которого началось распространение вируса-шифровальщика.

По словам гендиректора компании Ильи Сачкова, с вычисленным доменным именем и IP-адресом связаны пять ресурсов. Он предположил, что злоумышленники, создавшие «плохого кролика», могут быть связаны с продажей траффика в интернете.

Также Сачков рассказал, что пользователи могли попадать на сайты, зараженные вирусом, переходя по рекламной ссылке. В Службе безопасности Украины подтверждают слова эксперта, подчеркнув, что в компании приходили фишинговые письма с обратным адресом, который ассоциируется со службой технической поддержки Microsoft.

После того, как Bad Rabbit попадал на компьютеры, он зашифровывал все данные, хранящиеся в памяти и предлагал заплатить по 0,05 биткоина (чуть более 16 тысяч рублей) за разблокировку каждого инфицированного компьютера.

Специалисты не рекомендуют платить злоумышленникам, так как уже известно, что «кролик» содержит в себе части вируса NotPetya, а это значит, что полновесное противоядие против вируса не за горами.

Group-IB предлагает создать на компьютере файл «C:windowsinfpub.dat» и ограничить его режимом «только для чтения». Такая мера поможет предотвратить шифрование файлов, даже если компьютер будет уже заражен.

Также специалисты рекомендуют запретить хранение паролей в LSA Dump и заблокировать IP-адреса и доменные имена, с которых происходило распространение вредоносных файлов.