Obveščamo vas, da se je pojavila nova različica izseljevalskega virusa, ki je do sedaj dosegel številne pomembne ustanove v Rusiji in Ukrajini kot npr. metro sistem v Kijevu, letališče Odessa, kot tudi rusko novinarsko agencijo Interfax.

Nova družina izsiljevalskega virusa pomenovanega BadRabbit trenutno cilja na kritično infrastrukturo in pomembne ustanove na območju bivše Sovjetske zveze, a se širi tudi na ostale trge. Vsi uporabniki Bitdefender GravityZone  in Bitdefender Elite so v tem valu napadov varni že od vsega začetka (t.i. zero hour detection). Varnostne rešitve Bitdefender GravityZone so zaznale to grožnjo kot Gen: Heur.Ransom.BadRabbit.1andGen: Variant.Ransom.BadRabbit.1. Treba je omeniti, da je novi Bitdefender Elite suite s HyperDetect ujel BadRabbit julija letos. Grožnja je označena kot: Gen: Illusion.ML.Skyline.10101

Zaščitite vaše podjetje pred tovrstnimi napadi z Bitdefender varnostnimi sistemi.

Prva analiza v Bitdefender laboratoriju pokaže, da je ta nova različica izsiljevalskega virusa združena z več odprtokodnimi orodji, ki se uporabljajo za šifriranje podatkov.

Postopek okužbe se začne s ponarejenim programom Adobe Flash, ki se prenese z ogroženih spletnih mest. Ta ponarejeni namestitveni program Flash ima dejansko koristno blago za prenos v ZLIB-ovem prekrivnem paketu. Ko se dešifrira, spusti in izvrši dejansko izsiljevalski virus (opredeljeno kot b14d8faf7f0cbcfad051cefe5f39645f). Zgoraj omenjena koristna gonilna sila ima manj kot šest različnih orodij, kot so ZLIB stisnjeni viri, ki se uporabljajo za šifriranje, pa tudi za bočno širjenje.

Ta orodja so:

Komponenta za šifriranje (opredeljena kot 5b929abed1ab5406d1e55fea1b344dab)

Bootloader (označen kot b14d8faf7f0cbcfad051cefe5f39645f)

Mimikatz – pripomoček za pridobivanje gesel in potrditev vstopnic iz spomina

• Mimikatz binarno prevedeno za x86 (opredeljeno kot 37945c44a897aa42a66adcab68f560e0)
• Mimikatz binarno prevedeno za x64 (opredeljeno kot 347ac3b6b791054de3e5720a7144a977)

DiskCryptor – odprta rešitev za šifriranje particij

• DiskCryptor gonilnik, zbran za x86 (označen kot b4e6d97dafd9224ed9a547d52c26ce02)
• DiskCryptor gonilnik, zbran za x64 (opredeljen kot edb72f4a46c39452d1a5414f7d26454a)

Kar poznamo doslej:

Bad Rabbit je zelo podoben z GoldenEye / NotPetya tako strukturno kot širše. Namenjen je ukrajinski kritični infrastrukturi in je zelo »viralen« zaradi svoje uvedbe Mimikatz, ki omogoča prehod iz ene okužene delovne postaje na drugo v organizaciji. Prav tako ima šifriranje diska prek gonilnika DiskCryptor, da lahko ovira običajen postopek zagona in preprečuje zagon računalnika.

Znaki Game of Thrones, navedeni v vzorcu.

Nenazadnje, medtem ko se komponenta ransomware sklicuje na znake Game of Thrones, ima tudi rutinsko preusmeritev procesa, ki je zelo podobna tem, kar je GoldenEye uporabil za preverjanje, katere varnostne rešitve so bile nameščene lokalno pred šifriranjem MBR-a.

Če uporabljate BitDefender zaščito za dom ali podjetje, vam ni treba skrbeti, saj Bitdefender rešitve odkrivajo to grožnjo.