Мир снова в опасности и теперь ему угрожает новый вирус-шифровальщик BadRabbit, который блокирует пользовательские файлы и требует денежный выкуп, как и ранее известный вирус WannaCry. Вирус уже поразил российские и украинские издания, также под атаку попали Метрополитен Киева и международный аэропорт Одессы.
В метро Одессы пострадала банковская система, из-за чего пассажиры не могут произвести оплату бесконтактными банковскими картами, а в одесском аэропорте стали недоступны информационные системы.
Факт кибератаки подтвердил представитель «Интерфакса», заявив, что специалисты уже работают над этим вопросом. Доступа к сайту «Фонтанка.ру» тоже пока нет.
«Хакерская атака на наш сервер. У нас серьезные технические проблемы, возможно сайт будет недоступен несколько часов», — говорится в Telegram-канале интернет-издания.
На экранах зараженных компьютеров появляется сообщение, сообщающее, что все файлы пользователя были зашифрованы, но их можно спасти, если заплатить злоумышленникам и ввести дешифрующий пароль. При этом указан сайт, который можно посетить для дополнительной информации, обладающий псевдо-доменом .onion.
По данным официального Telegram-канала Group-IB, число зараженных компьютеров будет расти, и не исключена новая глобальная эпидемия. Сообщается, что вирус-вымогатель требует выкуп в размере 0,05 биткоина (около $300). Кроме того, BadRabbit запускает счетчик, по истечении которого стоимость выкупа будет расти.
Из официальной публикации «Лаборатории Касперского» уже известно, что продукты «Лаборатории Касперского» детектируют один из компонентов зловреда как UDS:DangerousObject.Multi.Generic (с помощью облачного сервиса Kaspersky Security Network), как PDM:Trojan.Win32.Generic (с помощью System Watcher), а также как Trojan—Ransom.Win32.Gen.ftl.
Рекомендации для пользователей защитных решений «Лаборатории Касперского»:
- Проверьте, включены ли в вашем защитном решении компоненты Kaspersky Security Network и «Мониторинг активности» (он же System Watcher). Если нет — обязательно включите.
Для тех, кто не пользуется защитными решениями «Лаборатории Касперского»:
- Заблокируйте исполнение файла c:\windows\infpub.dat, C:\Windows\cscc.dat.
- Запретите (если это возможно) использование сервиса WMI.
