Novi ransomware Bad Rabbit hara Evropom

Opisi virusa, 25.10.2017, 01:00 AM

Novi ransomware Bad Rabbit hara Evropom

Novi ransomware nazvan Bad Rabbit se kao požar širi evropskim zemljama, u kojima napada računare kako u državnim institucijama, tako i u privatnim firmama. Malver je do sada primećen u Rusiji, Ukrajini, Bugarskoj, Turskoj i Nemačkoj. Potvrđeno je da je Bad Rabbit napao Međunarodni aerodrom u Odesi, u Ukrajini, platni sistem metroa u Kijevu, ukrajinsko Ministarstvo infrastrukture i ruske novinske agencije, među kojima su Interfax i Fontanka.

Ukrajinski CERT upozorio je ukrajinske firme na napade novog ransomwarea koji po brzini kojom se širi podseća na WannaCry i NotPetya ransomwaree koji su napravili haos u maju i junu ove godine.

Kompanije ESET i Proofpoint koje su analizirale novi ransomware saopštile su da se on širi preko lažnih ažuriranja za Flash, ali i da malver dolazi u paketu sa alatima koji mu pomažu da se širi unutar mreža, što objašnjava zbog čega se za kratko vreme tako brzo proširio u mrežama nekoliko kompanija.

Kompanija Kaspersky Lab objavila je da se ransomware širi preko drive-by napada i da se žrtve sa legitimnih sajtova preusmeravaju na web sajt na kome ih čeka lažni paket ažuriranja za Flash. Kada korisnik klikne na ono što je predstavljeno kao ažuriranje za Flash, preuzima se fajl install_flash_player.exe. "Nisu korišćeni exploiti, tako da žrtve moraju same da pokrenu malver dropper, koji se pretvara da je Adobe Flash installer. Otkrili smo mnogo kompromitovanih web sajtova, koji su svi novinski ili sajtovi medija", kažu iz Kaspersky Laba.

ESET detektuje Bad Rabbit kao "Win32/Decoder.D", novu verziju Petya ransomwarea, koji je poznat i po nazivima Petrwrap, NotPetya, exPetr ili GoldenEye.

Bad Rabbit koristi alat Mimikatz za izvlačenje lozinki iz memorije računara. On pokušava da pristupi serverima i radnim stanicama na istoj mreži preko SMB i WebDAV.

Kao i Petya i NotPetya, i Bad Rabbit najpre šifruje fajlove na inficiranom računaru i zatim zamenjuje MBR (Master Boot Record). Zatim restartuje računar koji ostaje "zaglavljen" sa porukom ransomwarea o otkupu koja je skoro identična onoj koji je u junu koristio NotPetya. Međutim, tu se svaka sličnost sa NotPetya završava, jer ova dva ransomwarea dele samo 13% istog koda.

Bad Rabbit traži od žrtava da pristupe njegovom sajtu preko Tor mreže i da uplate 0,05 Bitcoina, što je oko 280 dolara. Žrtvama se ostavlja rok od 40 sati za plaćanje, posle čega će iznos koji ransomware traži biti veći.

Bad Rabbit je baziran na DiskCryptoru, open source alatu, ali nije prvi takav malver. Slično je bilo i sa HDDCryptorom koji je napao transportnu službu Muni u San Francisku ranije ove godine.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Opasni ransomware Clop sada inficira i Linux sisteme

Opasni ransomware Clop sada inficira i Linux sisteme

Istraživači iz firme SentinelOne 26. decembra primetili su prvu varijantu ransomwarea Clop (Cl0p) koja cilja na Linux sisteme. Clop se prvi put poja... Dalje

Opasni bankarski trojanac na lažnom veb sajtu aplikacije Zoom

Opasni bankarski trojanac na lažnom veb sajtu aplikacije Zoom

Hakeri koriste modifikovani program za instalaciju Zooma da bi prevarili ljude da instaliraju IcedID malver na svojim sistemima, upozorili su istraži... Dalje

Posle curenja koda Conti ransomwarea, istraživači upozoravaju na novi ransomware Putin

Posle curenja koda Conti ransomwarea, istraživači upozoravaju na novi ransomware Putin

Istraživači iz Cyble Research and Intelligence Labs (CRIL) otkrili su četiri nova ransomwarea - Putin Team, ScareCrow, BlueSky i Meow, koji su proi... Dalje

Opasna a naizgled bezazlena ekstenzija za Chrome, MS Edge i Operu krade podatke i kriptovalute

Opasna a naizgled bezazlena ekstenzija za Chrome, MS Edge i Operu krade podatke i kriptovalute

Avast je upozorio da poznati malver za Windows, ViperSoftX, instalira opasnu ekstenziju koja krade podatke u veb pretraživače bazirane na Chromiumu.... Dalje

Trojanci na kopijama popularnih modela Android telefona hakuju WhatsApp naloge

Trojanci na kopijama popularnih modela Android telefona hakuju WhatsApp naloge

Istraživači Doctor Weba upozorili su potencijalne kupce i korisnike jeftinih Android telefona koji su kopije popularnih modela pametnih telefona poz... Dalje