Novi ransomware Bad Rabbit hara Evropom

Opisi virusa, 25.10.2017, 01:00 AM

Novi ransomware Bad Rabbit hara Evropom

Novi ransomware nazvan Bad Rabbit se kao požar širi evropskim zemljama, u kojima napada računare kako u državnim institucijama, tako i u privatnim firmama. Malver je do sada primećen u Rusiji, Ukrajini, Bugarskoj, Turskoj i Nemačkoj. Potvrđeno je da je Bad Rabbit napao Međunarodni aerodrom u Odesi, u Ukrajini, platni sistem metroa u Kijevu, ukrajinsko Ministarstvo infrastrukture i ruske novinske agencije, među kojima su Interfax i Fontanka.

Ukrajinski CERT upozorio je ukrajinske firme na napade novog ransomwarea koji po brzini kojom se širi podseća na WannaCry i NotPetya ransomwaree koji su napravili haos u maju i junu ove godine.

Kompanije ESET i Proofpoint koje su analizirale novi ransomware saopštile su da se on širi preko lažnih ažuriranja za Flash, ali i da malver dolazi u paketu sa alatima koji mu pomažu da se širi unutar mreža, što objašnjava zbog čega se za kratko vreme tako brzo proširio u mrežama nekoliko kompanija.

Kompanija Kaspersky Lab objavila je da se ransomware širi preko drive-by napada i da se žrtve sa legitimnih sajtova preusmeravaju na web sajt na kome ih čeka lažni paket ažuriranja za Flash. Kada korisnik klikne na ono što je predstavljeno kao ažuriranje za Flash, preuzima se fajl install_flash_player.exe. "Nisu korišćeni exploiti, tako da žrtve moraju same da pokrenu malver dropper, koji se pretvara da je Adobe Flash installer. Otkrili smo mnogo kompromitovanih web sajtova, koji su svi novinski ili sajtovi medija", kažu iz Kaspersky Laba.

ESET detektuje Bad Rabbit kao "Win32/Decoder.D", novu verziju Petya ransomwarea, koji je poznat i po nazivima Petrwrap, NotPetya, exPetr ili GoldenEye.

Bad Rabbit koristi alat Mimikatz za izvlačenje lozinki iz memorije računara. On pokušava da pristupi serverima i radnim stanicama na istoj mreži preko SMB i WebDAV.

Kao i Petya i NotPetya, i Bad Rabbit najpre šifruje fajlove na inficiranom računaru i zatim zamenjuje MBR (Master Boot Record). Zatim restartuje računar koji ostaje "zaglavljen" sa porukom ransomwarea o otkupu koja je skoro identična onoj koji je u junu koristio NotPetya. Međutim, tu se svaka sličnost sa NotPetya završava, jer ova dva ransomwarea dele samo 13% istog koda.

Bad Rabbit traži od žrtava da pristupe njegovom sajtu preko Tor mreže i da uplate 0,05 Bitcoina, što je oko 280 dolara. Žrtvama se ostavlja rok od 40 sati za plaćanje, posle čega će iznos koji ransomware traži biti veći.

Bad Rabbit je baziran na DiskCryptoru, open source alatu, ali nije prvi takav malver. Slično je bilo i sa HDDCryptorom koji je napao transportnu službu Muni u San Francisku ranije ove godine.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje

Sajber-kriminalci nude lažni dekripter koji još jednom šifruje već šifrovane fajlove žrtava ransomwarea

Sajber-kriminalci nude lažni dekripter koji još jednom šifruje već šifrovane fajlove žrtava ransomwarea

Lažni dekripter za STOP Djvu Ransomware nudi se očajnim ljudima uz obećanje da će im besplatno dešifrovati fajlove. Umesto da svoje fajlove vrat... Dalje