Во вторник, 24 октября, кибератакам подверглись не только украинские организации и предприятия, но также компании и СМИ в Германии, Турции и России. Новый вирус выявлен и идентифицирован несколькими фирмами, которые специализируются на кибербезопасности. Он называется Bad Rabbit, что можно перевести как «Плохой кролик».
Эксперты компании Group-IB описали в деталях, как работает этот вирус. При загрузке системы зараженного компьютера происходит активация вируса. Вместо привычного рабочего стола пользователь видит черный экран, на котором красными буквами написано о шифровании всех файлов компьютера. Чтобы их расшифровать, злоумышленники просят перейти на onion-адрес (который индексируется только при помощи браузера Tor), где получает номер биткойн-кошелька. На него злоумышленники требуют перевести 0,05 биткойна (примерно 283 доллара). Хакеры утверждают, что дешифровать файлы могут только они. Если деньги переведены не будут, вся информация в памяти компьютера будет уничтожена. На данный момент на биткойн-кошелек не было переведено никаких средств.
Основатель компании Group-IB Илья Сачков на своей странице в Facebook заявил, что эти атаки можно считать началом новой эпидемии.
Сотрудник чешской компании ESET, которая производит антивирусное ПО, Иржи Кропак в своем аккаунте в Twitter сообщил о том, что вирус распространяется через фальшивый файл обновления для программы Adobe Flash, которая установлена практически на каждом компьютере с системой WIndows. Эксперт предупреждает пользователей — не спешите обновлять Adobe Flash! Убедитесь сначала, действительно ли этого действия требует от вас проверенный надежный сайт.
Официальный блог российской компании «Лаборатория Касперского» утверждает, что больше всего атак Bad Rabbit было зафиксировано 24 октября в России. Эксперты этой компании считают, что вирус распространяется методом, схожим с ExPetr (он же Petya). Предыдущие вирусы в основном пробирались в компьютеры через «дыру» в системе Windows, поэтому атаке подверглись компьютеры с этой операционной системой.
Евгений Гуков из Group-IB считает, что сравнивать эти два вируса между собой пока рано. Он согласен, что между ними есть некоторое сходство. «Да, на данный момент мы видели зараженные компьютеры на операционной системе Windows, на iOs пока заражений этим вирусом зафиксировано не было, но это не значит, что их нет», — подчеркнул Гуков.
Вячеслав Закоржевский из «Лаборатории Касперского» отметил еще одно отличие между Bad Rabbit и ExPetr. Новый вирус, по его словам, распространяется через ряд зараженных сайтов российских СМИ. Об атаках на свои сайты сообщили «Интерфакс» и «Фонтанка.ру».
Закоржеский советует пользователям запретить исполнение файлов с названиями c:/windows/infpub.dat и C:/Windows/cscc.dat с помощью инструментов системного администрирования.