Novi ransomware Bad Rabbit hara Evropom

Opisi virusa, 25.10.2017, 01:00 AM

Novi ransomware Bad Rabbit hara Evropom

Novi ransomware nazvan Bad Rabbit se kao požar širi evropskim zemljama, u kojima napada računare kako u državnim institucijama, tako i u privatnim firmama. Malver je do sada primećen u Rusiji, Ukrajini, Bugarskoj, Turskoj i Nemačkoj. Potvrđeno je da je Bad Rabbit napao Međunarodni aerodrom u Odesi, u Ukrajini, platni sistem metroa u Kijevu, ukrajinsko Ministarstvo infrastrukture i ruske novinske agencije, među kojima su Interfax i Fontanka.

Ukrajinski CERT upozorio je ukrajinske firme na napade novog ransomwarea koji po brzini kojom se širi podseća na WannaCry i NotPetya ransomwaree koji su napravili haos u maju i junu ove godine.

Kompanije ESET i Proofpoint koje su analizirale novi ransomware saopštile su da se on širi preko lažnih ažuriranja za Flash, ali i da malver dolazi u paketu sa alatima koji mu pomažu da se širi unutar mreža, što objašnjava zbog čega se za kratko vreme tako brzo proširio u mrežama nekoliko kompanija.

Kompanija Kaspersky Lab objavila je da se ransomware širi preko drive-by napada i da se žrtve sa legitimnih sajtova preusmeravaju na web sajt na kome ih čeka lažni paket ažuriranja za Flash. Kada korisnik klikne na ono što je predstavljeno kao ažuriranje za Flash, preuzima se fajl install_flash_player.exe. "Nisu korišćeni exploiti, tako da žrtve moraju same da pokrenu malver dropper, koji se pretvara da je Adobe Flash installer. Otkrili smo mnogo kompromitovanih web sajtova, koji su svi novinski ili sajtovi medija", kažu iz Kaspersky Laba.

ESET detektuje Bad Rabbit kao "Win32/Decoder.D", novu verziju Petya ransomwarea, koji je poznat i po nazivima Petrwrap, NotPetya, exPetr ili GoldenEye.

Bad Rabbit koristi alat Mimikatz za izvlačenje lozinki iz memorije računara. On pokušava da pristupi serverima i radnim stanicama na istoj mreži preko SMB i WebDAV.

Kao i Petya i NotPetya, i Bad Rabbit najpre šifruje fajlove na inficiranom računaru i zatim zamenjuje MBR (Master Boot Record). Zatim restartuje računar koji ostaje "zaglavljen" sa porukom ransomwarea o otkupu koja je skoro identična onoj koji je u junu koristio NotPetya. Međutim, tu se svaka sličnost sa NotPetya završava, jer ova dva ransomwarea dele samo 13% istog koda.

Bad Rabbit traži od žrtava da pristupe njegovom sajtu preko Tor mreže i da uplate 0,05 Bitcoina, što je oko 280 dolara. Žrtvama se ostavlja rok od 40 sati za plaćanje, posle čega će iznos koji ransomware traži biti veći.

Bad Rabbit je baziran na DiskCryptoru, open source alatu, ali nije prvi takav malver. Slično je bilo i sa HDDCryptorom koji je napao transportnu službu Muni u San Francisku ranije ove godine.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Lažna Flash ažuriranja šire kriptomajner XMRig

Lažna Flash ažuriranja šire kriptomajner XMRig

Maliciozna ažuriranja za Flash često su korišćena za širenje droppera, malvera koji instaliraju druge malvere, ali istraživači iz Palo Alto Uni... Dalje

Posle pet godina napada na korisnike banaka, otkriven malver Dark Tequila

Posle pet godina napada na korisnike banaka, otkriven malver Dark Tequila

Istraživači iz kompanije Kaspersky Labs otkrili su složenu kampanju distribucije jednog malvera koja je usmerena na korisnike meksičkih banaka i k... Dalje

Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Ransomware SamSam zaradio je svom tvorcu više od 5,9 miliona dolara, koliko su platile žrtve od kada se pojavio malver, krajem 2015. godine. Ovo je ... Dalje

PowerGhost: Novi majner koji isključivo napada firme širom sveta

PowerGhost: Novi majner koji isključivo napada firme širom sveta

Istraživači kompanije Kaspersky Lab otkrili su novi malver za rudarenje kriptovaluta, nazvan PowerGhost, koji je pogodio korporativne mreže u nekol... Dalje

Otkrivena nova verzija čuvenog bankarskog trojanca Kronos

Otkrivena nova verzija čuvenog bankarskog trojanca Kronos

Istraživači iz kompanije Proofpoint primetili su novu verziju starog bankarskog trojanca Kronos koji je bio na vrhuncu još 2014. godine. Nova verzi... Dalje