OlegON➤ Исследователи безопасности из Cisco Talos обнаружили вредоносный код в популярной утилите CCleaner от компании Avast.
Цитата:
Провериться на заражение можно достаточно просто: нужно найти в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\Agomo и проверить, содержатся ли там элементы MUID и TCID. Если да – это признак заражения Floxif.
В 2017 году уже было зафиксировано две крупнейших эпидемии шифровальщиков — мы говорим про здорово нашумевшие WannaCry и ExPetr (он же Petya и одновременно NotPetya) — а теперь, похоже, начинается третья. На этот раз шифровальщика зовут Bad Rabbit — по крайней мере такое имя написано на странице в даркнете, на которую его создатели отправляют за выяснением деталей.
Пока что предположительно от этого шифровальщика пострадали несколько российских медиа — среди них Интерфакс и Фонтанка. Также о хакерской атаке — возможно, связанной с тем же Bad Rabbit, — сообщает аэропорт Одессы.
За расшифровку файлов злоумышленники требуют 0,05 биткойна, что по современному курсу примерно эквивалентно 283 долларам или 15 700 рублям.
Подробности атаки и способа распространения заразы пока не известны, как не известно и то, возможно ли расшифровать файлы. Эксперты «Лаборатории Касперского» расследуют эту атаку — мы будем обновлять этот пост по мере того, как они будут находить новую информацию.
Большинство жертв атаки находятся в России. Также мы наблюдаем похожие атаки в Украине, Турции и Германии, но в значительно меньшем количестве. Зловред распространяется через ряд заражённых сайтов российских СМИ. Все признаки указывают на то, что это целенаправленная атака на корпоративные сети. Используются методы, похожие на те, что мы наблюдали в атаке ExPetr, однако связь с ExPetr мы подтвердить не можем.
Уже известно, что продукты «Лаборатории Касперского» детектируют один из компонентов зловреда с помощью облачного сервиса Kaspersky Security Network как UDS:DangerousObject.Multi.Generic, а также с помощью System Watcher как PDM:Trojan.Win32.Generic.
Чтобы не стать жертвой новой эпидемии «Плохого кролика», рекомендуем сделать следующее:
Для пользователей наших защитных решений:
Проверьте, включены ли в вашем защитном решении компоненты Kaspersky Security Network и «Мониторинг активности» (он же System Watcher). Если нет — обязательно включите.
Для тех, кто не пользуется защитными решениями «Лаборатории Касперского»:
Заблокируйте исполнение файла c:\windows\infpub.dat, C:\Windows\cscc.dat.
Запретите (если это возможно) использование сервиса WMI.
Компьютеры России и Украины атаковал новый вирус-вымогатель. Вирус-шифровальщик под названием Bad Rabbit (рус.«Плохой кролик») блокирует компьютер и требует деньги за восстановление доступа к нему.
Специалисты по информационной безопасности из Group-IB установили, что атака готовилась несколько дней. В ESET предупреждают, что вирус проникает в компьютер через обновление плагина Adobe Flash. После этого он заражает ПК и шифрует файлы на нем. Затем на мониторе появляется сообщение о том, что компьютер блокирован, а для расшифровки файлов необходимо зайти на сайт Bad Rabbit. Далее должен появиться адрес кошелька, на который требуют перевести 0,05 биткоина за расшифровку файлов. Эта сумма равна примерно 283 долларам или почти 16 тысячам рублей.
Примечательно, что на выкуп данных дается 48 часов, все это время на заблокированном мониторе отображается таймер с обратным отсчетом. По истечении срока сумма выкупа возрастает.
Специалисты «Лаборатории Касперского» отмечают, что большинство пострадавших компьютеров находятся в России, однако жертвами атаки стали также жители Украины, Германии и Турции.
И еще про Bad Rabbit
Защититься от него легко - следует создать файл C:\windows\infpub.dat и поставить ему права Read Only ("Только для чтения").
Если вы так сделаете, то файлы не будут зашифрованы даже в случае если ваше устройство заразится данным зловредом