Третья за год волна атак вирусов-шифровальщиков обрушилась на РФ

Уже во вторник он начал блокировать компьютеры российских ресурсов, заражая их через популярные сайты, в том числе СМИ. Пострадали "Интерфакс", который смог восстановиться только через сутки, а также Фонтанка.ру. Все признаки указывают на то, что это целенаправленная атака на корпоративные сети, сказали "Российской газете" в "Лаборатории Касперского". Там отметили, что большинство жертв атаки находятся в России, похожие атаки наблюдаются на Украине, в Турции и Германии, но в значительно меньшем количестве.

Шифровальщику не удалось получить доступ к ресурсам финансовых организаций или нарушить их работу, сообщил Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России. Ранее СМИ сообщили, что вирус пытался обрушить банки из топ-20. Банк России подтвердил, что атаки были, однако фактов компрометации ресурсов он не обнаружил. ФинЦЕРТ разослал по банкам рекомендации о методах выявления рассылаемого по почте вируса и противодействия ему.

Успешная атака привела бы к остановке операционной деятельности банка, при этом финансовые данные клиентов от вируса-шифровальщика не пострадают, пояснили "РГ" вице-президент InfoWatch, гендиректор Attack Killer Рустэм Хайретдинов.

Банк России предупреждает, что хакеры продолжат распространять вредоносное ПО, в том числе предназначенное для скрытного шифрования файлов. "Как правило, злоумышленники присылают на e-mail письмо с вложенным вирусом, путем обмана или злоупотребления доверием они побуждают пользователя открыть вредоносный файл, после чего вредоносное ПО активируется", - сообщил ЦБ.

Но эксперты утверждают, что "Плохой кролик" действует более изощренно - через запуск вполне невинных на вид программ для просмотра видеороликов. Не случайно переносчиками BadRabbit стали ресурсы СМИ, где всегда есть видео. Для просмотра пользователям предлагается запустить фальшивый установщик Adobe Flash. Похожая схема была обнаружена в мае - уязвимость в популярных видеоплеерах позволяла киберпреступникам удаленно взламывать компьютеры пользователей.

Разработчики Bad Rabbit взяли на вооружение эту идею. Механизм вируса прост - Bad Rabbit делает невозможным доступ ко всем данным, которые находятся на зараженном им компьютере.

Злоумышленники требуют 0,05 биткоина (283 доллара, или 15 700 рублей по текущему курсу). Но вероятность того, что после уплаты денег произойдет расшифровка файлов, очень мала, уверяют эксперты. Пока неизвестно, возможно ли в принципе расшифровать пораженные "Плохим кроликом" файлы - как уплатив выкуп, так и используя какой-нибудь изъян в механизме шифрования зловреда. При атаке аналогичного вируса WannaCry в июне, в котором использовались приобретенные в даркнете элементы кибероружия, хакеры сами не знали способов расшифровки данных, хотя деньги требовали именно за это.

Наша реальность такова, что злоумышленники научились вводить мир в паническое состояние, отмечает Рустэм Хайретдинов. Вирусы-шифровальщики будут появляться вновь, отличаясь только названием, технологиями, способом заражения.

Между тем Банк России обеспокоен недоступностью публичного сервиса "Интерфакса" по раскрытию информации эмитентами и заявил, что намерен проработать механизмы для снижения вероятности возникновения подобных инцидентов в будущем.

Необходимо создать файл C:\Windows\infpub.dat и поставить ему права "только для чтения". После этого даже в случае заражения файлы не будут зашифрованы, посоветовали в Group-IB.

Оперативно изолируйте компьютеры, доменные адреса и IP-адреса, указанные в блоге group-ib.ru/blog/badrabbit, если такие будут, а также убедитесь в актуальности и целостности резервных копий ключевых сетевых узлов. Обновите операционные системы и системы безопасности. Настройками групповой политики запретите хранение паролей в LSA Dump в открытом виде. Смените все пароли на сложные для предотвращения брута по словарю. Поставьте пользователям блокировку всплывающих окон.