Bad Rabbit – groźny ransomware atakuje kolejne kraje

Jednym z najczęściej poruszanych na blogu wątków jest ransomware. Nie ma tygodnia, bym nie pisał o tym zagrożeniu. Pokazuje to, że szkodliwe oprogramowanie tego typu staje się z miesiąca na miesiąc coraz bardziej popularne i użytkownicy muszą sobie uświadomić, że w jednej chwili mogą stracić dostęp do wszystkich plików na komputerze lub telefonie.

Słowem wyjaśnienia – ransomware to program, który po zainfekowaniu urządzenia, szyfruje wszystkie pliki – dokumenty, muzykę, pliki graficzne, a nawet kopie zapasowe, które są zapisane na dyskach podłączonych do atakowanego komputera. Aby odzyskać pliki, użytkownik musi zapłacić okup (najczęściej jest to kilkadziesiąt-kilkaset dolarów) w bitcoinach. Niestety nawet płacąc określoną kwotę, nie można mieć pewności, że pliki zostaną odzyskane. Zdarzały się bowiem sytuacje, że klucz nie został wysyłany. Warto nadmienić, że na przelanie pieniędzy, ofiara ma określony czas np. 48 godzin.

Jak informują różne serwisy[1] i producenci oprogramowania zabezpieczającego[2], w sieci trwa właśnie nowy, masowy atak ransomware. Jest on podobny do ataków Not-Petya i WannaCry sprzed kilku miesięcy, w wyniku których komputery na całym świecie zostały zaszyfrowane, a wiele firm i instytucji nie mogło wykonywać swojej pracy.

Aktualnie zaatakowane zostały komputery w  Rosji, Niemczech, Turcji, Bułgarii oraz na Ukrainie, ale nie można wykluczyć dalszego rozprzestrzeniania się szkodnika. Póki co, nie odnotowano ataków w Polsce, ale będziemy informować na blogu, gdyby do tego doszło. Poniżej znajdują się komunikaty wyświetlane bezpośrednio po zaszyfrowaniu danych.

Źródło: https://threatpost.com/badrabbit-ransomware-attacks-hitting-russia-ukraine/128593/
Źródło: https://threatpost.com/badrabbit-ransomware-attacks-hitting-russia-ukraine/128593/
Źródło: https://twitter.com/GroupIB_GIB/status/922819835494649856
Źródło: https://twitter.com/GroupIB_GIB/status/922819835494649856

Użytkownik ma około 40 godzin na zapłacenie okupu w wysokości 0,05 bitcoina, co przy obecnym kursie daje około 1000 zł. Firmy antywirusowe prowadzą aktualnie analizę szkodliwego oprogramowania, ale jednym z wektorów ataku jest fałszywa informacja o konieczności zaktualizowania programu Flash Player.

Źródło: https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/
Źródło: https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/

Po zaakceptowaniu instalacji, rozpoczyna sięszyfrowanie. Sam komunikat pojawia się na zainfekowanych witrynach (atak typu drive-by download), w wyniku czego użytkownikowi pokazuje się wskazana wyżej informacja.

Co zrobić by zabezpieczyć się przed atakiem?

  • Zaktualizować system operacyjny
  • Zainstalować oprogramowanie zabezpieczające
  • Unikać akceptowania podejrzanych komunikatów, które mogą się pojawić przy odwiedzaniu stron
  • Regularnie robić kopię zapasową plików i systemu, oraz trzymać je na oddzielnym dysku, który podłączany jest do komputera tylko na czas tworzenia kopii (w ten sposób unikamy ryzyka zaszyfrowania backupu)
  • Nie otwieraj załączników i nie klikaj odnośników wysłanych mailem od nieznanych nadawców
  • O każdej podejrzanych komunikatach lub wiadomościach, poinformuj adminsitratora

Aktualizacja #1

Niektórzy badacze informują o pierwszych przypadkach wykrycia Bad Rabbit w Polsce:

Źródło: https://twitter.com/lorenzoFB/status/922910843632865281
Źródło: https://twitter.com/lorenzoFB/status/922910843632865281

[1] https://thehackernews.com/2017/10/bad-rabbit-ransomware-attack.html
[2] https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/