Bad Rabbit: вирус-шифровальщик атаковал Россию и Украину

Мир снова в опасности и теперь ему угрожает новый вирус-шифровальщик BadRabbit, который блокирует пользовательские файлы и требует денежный выкуп, как и ранее известный вирус WannaCry. Вирус уже поразил российские и украинские издания, также под атаку попали Метрополитен Киева и международный аэропорт Одессы.

В метро Одессы пострадала банковская система, из-за чего пассажиры не могут произвести оплату бесконтактными банковскими картами, а в одесском аэропорте стали недоступны информационные системы.

Факт кибератаки подтвердил представитель «Интерфакса», заявив, что специалисты уже работают над этим вопросом. Доступа к сайту «Фонтанка.ру» тоже пока нет.

«Хакерская атака на наш сервер. У нас серьезные технические проблемы, возможно сайт будет недоступен несколько часов», — говорится в Telegram-канале интернет-издания.

На экранах зараженных компьютеров появляется сообщение, сообщающее, что все файлы пользователя были зашифрованы, но их можно спасти, если заплатить злоумышленникам и ввести дешифрующий пароль. При этом указан сайт, который можно посетить для дополнительной информации, обладающий псевдо-доменом .onion.

По данным официального Telegram-канала Group-IB, число зараженных компьютеров будет расти, и не исключена новая глобальная эпидемия. Сообщается, что вирус-вымогатель требует выкуп в размере 0,05 биткоина (около $300). Кроме того, BadRabbit запускает счетчик, по истечении которого стоимость выкупа будет расти.

Из официальной публикации «Лаборатории Касперского» уже известно, что продукты «Лаборатории Касперского» детектируют один из компонентов зловреда как UDS:DangerousObject.Multi.Generic (с помощью облачного сервиса Kaspersky Security Network), как PDM:Trojan.Win32.Generic (с помощью System Watcher), а также как TrojanRansom.Win32.Gen.ftl.

Рекомендации для пользователей защитных решений «Лаборатории Касперского»:

  • Проверьте, включены ли в вашем защитном решении компоненты Kaspersky Security Network и «Мониторинг активности» (он же System Watcher). Если нет — обязательно включите.

Для тех, кто не пользуется защитными решениями «Лаборатории Касперского»:

  • Заблокируйте исполнение файла c:\windows\infpub.dat, C:\Windows\cscc.dat.
  • Запретите (если это возможно) использование сервиса WMI.

Подписывайтесь на канал "WindowsArena.ru" в Telegram, чтобы первыми узнавать о главных новостях и важнейших событиях операционной системы Windows 10 и компании Microsoft.