AKTUALIZOVANÉ Okt. 26 so správami, že sa zdá, že šírenie škodlivého softvéru sa zastavilo.

Nový červ ransomvéru s názvom „Bad Rabbit“ sa začal šíriť po celom svete v utorok (október. 24) a zdá sa, že išlo o výrazne upravenú verziu servera Červ NotPetya ktoré zasiahli východnú Európu v júni.

Ilustračný kredit: Arseniy1982 / Shutterstock
(Obrázkový kredit: Ilustračný kredit: Arseniy1982 / Shutterstock)

Zlý králik zasiahol podnikové siete v Rusku a na Ukrajine obzvlášť tvrdo, podľa viacnásobný správya boli ojedinelé správy o infekciách v Turecku, Bulharsku, Japonsku, Nemecku, Poľsku, Južnej Kórei a USA Spojené štáty do utorka večera.

Americký tím počítačovej pohotovostnej pohotovosti (US-CERT), ktorý riadi ministerstvo pre vnútornú bezpečnosť, vydal výstraha ale nešpecifikoval, či boli v USA zistené nejaké infekcie

Ako sa chrániť

Všetky Windows antivirusový softvér recenzujeme v príručke Tom's Guide, vrátane Ochranca systému Windowsby mal byť schopný zistiť a zastaviť zlého králika. Zdá sa, že existuje aj spôsob „očkovania“ stroja, ktorý môže byť riskantný. Prejdeme si to nižšie.

Ako funguje zlý králik

Malvér Bad Rabbit vstupuje do podnikových sietí, keď používateľ v sieti spustí falošný inštalátor aplikácie Adobe Flash Player zverejnený na napadnutej webovej stránke. (Flash Player, skutočný aj falošný, je obľúbeným nástrojom počítačovej kriminality.) Počiatočné infekcie pochádzali z ruských spravodajských serverov, z ktorých jedna sa zdala byť aktívne infikovanie návštevníkov aj keď informovala o prepuknutí škodlivého softvéru.

Niektoré správy uviedli, že falošné inštalačné programy Flash poškodili aj webové stránky so sídlom v Dánsku, Turecku a Írsku.

VIAC: Najlepší antivírusový softvér a aplikácie

Po infikovaní pôvodného počítača v sieti používa Bad Rabbit nástroj open source MimiKatz nájsť všetky prihlasovacie poverenia uložené v stroji, potom sa pokúsi tieto poverenia použiť na rozšírenie na ďalšie strojov. Má tiež pevne zakódovaný zoznam desiatok najbežnejšie používaných hesiel.

Reťazec infekcie zlým králikom, ako ho vykreslil Trend Micro. Poďakovanie: Trend Micro
(Obrazový kredit: Infekčný reťazec zlého králika, ako ho vykreslil Trend Micro. Kredit: Trend Micro)

Vyskytli sa aj určité náznaky, že BadRabbit používa nástroj NSA EternalBlue, ktorý používa NotPetya aj Červ ransomware WannaCry ktoré sa rozšírili v máji, aby sa rozšírili prostredníctvom miestnej siete, aj keď iné správy to popierali a uviedli, že Bad Rabbit na šírenie jednoducho použil ukradnuté a slabé heslá.

Akonáhle sa Bad Rabbit rozšíri čo najviac po sieti, zašifruje všetky súbory bežne používaného balíka Windows Office, obrazové, obrazové, zvukové, e-mailové a archívne typy súborov na infikovaných počítačoch so systémom Windows pomocou programu DiskCryptor s otvoreným zdrojom užitočnosť. Potom nahradí hlavný bootovací záznam počítača, reštartuje počítač a zverejní výkupné. Poškodený dostane pokyn, aby poslal 0,05 bitcoinu (asi 280 dolárov) do konkrétnej bitcoinovej peňaženky.

Výkupné za zlého králika. Poďakovanie: ESET
(Obrazový kredit: Výkupné za zlého králika. Poďakovanie: ESET)

Slovenská antivírusová spoločnosť ESET informoval, že systém metra v ukrajinskom hlavnom meste Kyjev a hlavné letisko v Oděse, ďalšom veľkom ukrajinskom meste, zasiahol ransomvér.

Fanúšikovia hry o tróny môžu byť zmätení, keď sa to dozvedia tri rutiny vykonané malvérom sú pomenovaní Drogon, Rhaegal a Viserion, po troch drakoch v sérii. Časť inštalátora sa volá Šedý červ, meno vojenského veliteľa série.

Ako „zaočkovať“ počítač proti Bad Rabbitovi

Amit Serper, výskumník škodlivého softvéru v spoločnosti Cybereason, na Twitteri uviedol, že našiel spôsob, ako imunizovať počítač proti infekcii Bad Rabbit.

„Vytvorte nasledujúce súbory c: \ windows \ infpub.dat && c: \ windows \ cscc.dat - odstráňte VŠETKY POVOLENIA (dedičstvo) a ste očkovaní. :) „Serper tweetoval.

Aby ste to mohli urobiť, budete potrebovať oprávnenie správcu na počítači so systémom Windows a budete musieť vedieť, ako nastaviť oba súbory tak, aby ŽIADNY používatelia nemali povolenie na čítanie, zápis alebo vykonávanie. Aby to bolo jednoduchšie, zverejnil príspevok jeden z Serperových kolegov v spoločnosti Cybereason inštrukcie ktorý vás prevedie týmto procesom.

Sami sme nevyskúšali Serperovu metódu, a hoci sa môžeme zaručiť za jeho postavu - je to známy a uznávaný výskumník škodlivého softvéru - urobíte to na svoje vlastné riziko.

AKTUALIZÁCIA okt. 26: Nakoniec sme vyskúšali Serperovu očkovaciu metódu a zatiaľ sme nestiahli a nenainštalovali kópiu Bad Rabbit, aby sme zistili, či boli sme chránení, môžeme s radosťou oznámiť, že sa zdá, že tento postup nemal žiadny negatívny vplyv na náš Windows 10 stroj.

Zdá sa, že medzitým sa šírenie infekcie Zlým králikom zastavilo alebo aspoň spomalilo na plazenie. Symantec uviedli, že drvivá väčšina infekcií spôsobených zlým králikom sa vyskytla v priebehu niekoľkých hodín v utorok a v stredu, viac bezpečnostných firiem oznámil, že distribučné a kontrolné webové stránky spoločnosti Bad Rabbit boli presunuté do režimu offline.

Existovali náznaky, že páchatelia boli rovnakí ako páchatelia za útokmi NotPetya Ukrajinské podniky v máji, ale rovnako ako v prípade všetkého škodlivého softvéru sponzorovaného štátom, atribúcia nikdy nie je istý.

Naše odporúčania v tejto chvíli zostávajú nezmenené - nainštalujte a spustite dobrý antivírusový softvér, ktorý zastaví infekciu Bad Rabbit. Zdá sa, že ani postupovanie po očkovacom postupe Amitu Serpera nebolí.

Najlepší antivírusový softvér

Najlepší základný antivírusový produkt

Bitdefender Antivirus Plus

Najlepší antivírusový produkt strednej triedy

Kaspersky Internet Security

Najlepšie prémiové PC Security Suite

Kaspersky Total Security

  • Čo robiť, ak ste infikovaní ransomvérom
  • Sprievodca nákupom antivírusového softvéru
  • Chráňte svoj počítač pomocou tohto jednoduchého triku