Во вторник, 24 октября 2017 г., программа-вымогатель Bad Rabbit нанесла удар по России, Украине, Турции, Германии, Болгарии, США и Японии. Сильнее всего при этом пострадали Россия и Украина, поскольку ее распространение началось на взломанных хакерами российских новостных сайтах. Первыми жертвами стали российские агентства «Интерфакс» и «Фонтанка», а также украинские транспортные организации, включая одесский аэропорт, киевский метрополитен и Министерство инфраструктуры и ряд других организаций.




Наши исследования показали, что в основе Bad Rabbit лежит переработанный код NonPetya и exPetr, о чем также говорят модель его поведения и конечная цель атак. В то же время мы заметили, что в него входят элементы других программ-вымогателей, например, подходы, использовавшиеся при разработке шифровальщика HDDCryptor. Однако при этом люди, стоящие за Bad Rabbit, исправили кое-какие ошибки и свели все вышеперечисленные элементы воедино, получив очень интересный результат. Кроме того, для своего кода они использовали поддельный сертификат безопасности Symantec. Еще одна характерная черта Bad Rabbit – это способность собирать пароли пользователей на зараженных компьютерах и загружать дополнительные вредоносные модули.


Рассматриваемый шифровальщик не использует принципиально новых хитростей при атаке и заражении, а скорее наоборот – опирается на очень старый прием, предполагающий установку пользователями поддельного обновления Adobe Flash. Что удивительно, такой подход до сих пор срабатывает, наглядно показывая, низкую осведомленность компаний и потребителей в вопросах кибербезопасности и таящейся за программами-вымогателями опасности. До тех пор, пока пользователи не начнут воспринимать данную угрозу всерьез и принимать необходимые меры безопасности, риски лишиться доступа к своим данным остаются очень высокими.


Основные факты о Bad Rabbit


  • Использует элементы кода NonPetya/ExPetr
  • Распространяется под видом обновления для Adobe Flash, требующего установки вручную
  • Для шифрования использует легитимный драйвер
  • Делает попытки распространиться по локальной сети довольно примитивным способом, но также может использовать уязвимость SMB EternalRomance.
  • Заменяет главную загрузочную запись жёсткого диска и делает компьютер непригодным к использованию
  • Легитимный драйвер не всегда стабилен на Windows 10, возможен крах системы
  • В основном затронул корпоративных пользователей Windows

Схема заражения и технические характеристики


Для запуска атаки киберпреступники взломали несколько сайтов популярных СМИ и выложили на них скрипт со ссылкой на фальшивую программу установки Adobe Flash, который просил пользователей запустить обновление, когда они заходили на сайт. Многие пользователи попались на эту уловку, даже несмотря на то, что специалисты по безопасности уже долгие годы предостерегают людей от установки обновлений программ с сомнительных источников и рекомендуют проверять все обновления антивирусом, чтобы убедиться в отсутствии взлома или заражения вредоносным кодом. Аналогичные фальшивые обновления программного обеспечения Adobe были очень популярны много лет назад и, к сожалению, остаются эффективными и в наши дни.


Дроппер распространяется с адреса hxxp://1dnscontrol[.]com/flash_install.php. После этого пользователь загружает файл install_flash_player.exe, который требует административных привилегий в системе. Что забавно – он пытается получить их при помощи стандартного запроса системы контроля учетных записей пользователей (UAC). В случае запуска дроппер извлекает криптографический модуль файлового уровня infpub.dat (на самом деле – dll-библиотеку), криптографический модуль дискового уровня dispci.exe и драйвер режима ядра cscc.dat (на самом деле – легальный драйвер dcrypt.sys).


После того, как пользователь "самостоятельно" заражает свой компьютер, Bad Rabbit пытается распространиться по локальной сети при помощи инструмента mimikatz, который дает ему возможность извлекать учетные данные из системы проверки подлинности локальной системы безопасности в открытом виде, а также встроенный список учетных данных, содержащий примеры наименее удачных паролей. Атаки плохих парней остаются очень эффективными, ведь «12345» и «password» уже многие годы остаются в топе самых популярных паролей.


Как мы уже отметили, Bad Rabbit использует два типа шифрования – файлового и дискового уровня. Он не имитирует chkdsk.exe, как это делал NonPetya, чтобы замаскировать шифрование, и не использует уязвимость EternalBlue в файловом сервере Microsoft srv.sys, но может использовать уязвимость EternalRomance в файловом сервере Microsoft srv.sys. Сначала Bad Rabbit запускает шифрование файлового уровня (infpub.dat через rundll32), если находит достаточно файлов для этого. Затем в Планировщике он создает задания для запуска dispci.exe с целью шифрования дисков, после чего перезапускает систему. После первого перезапуска dispci.exe прописывает расширенную программу загрузки в конце диска, которая позднее берет на себя все функции управления при помощи зараженного MBR диска. Наконец, весь диск оказывается зашифрованным, главная загрузочная запись – замененной, а компьютер вновь перезапускается, и на его экране отображается сообщение с требованием выкупа в размере 0,05 биткоина (примерно 275 долларов США).


Что любопытно – на компьютерах с Windows 10 модуль, использовавшийся для шифрования, нередко вызывает появление «синего экрана смерти» из-за проблем с совместимостью. Еще один момент – при шифровании файлов их расширение не меняется, что может нарушить работу эвристических механизмов, используемых некоторыми антивирусами, реагирующими на изменение расширения. Bad Rabbit может работать и в режиме оффлайн, и потенциально это означает, что он может заражать другие компьютеры через флеш-накопители.


Основной целью Bad Rabbit являются компании и коммерческие предприятия, и на данный момент мы уже наблюдаем снижение уровня заражения. Вредоносный сервер уже не действует, а большинство зараженных сайтов, на которых был размещен скрипт для вредоносного обновления Flash, в настоящий момент отключено или вылечено. Впрочем, это не означает, что можно расслабиться. Новая атака может произойти в любой момент.




Мы уже давно следим за проблемой программ-вымогателей и заметили, что пользователи чаще всего в качестве основного инструмента защиты своих данных полагаются на резервное копирование. Как несложно догадаться, на это обратили внимание не только мы, но и киберпреступники, поэтому практически все новые программы-вымогатели пытаются удалить или зашифровать в том числе и файлы резервных копий. Например, Bad Rabbit, как видно на скриншоте выше, атакует файлы Acronis Backup (*.tib).


К несчастью для разработчиков Bad Rabbit, начиная с версии Acronis True Image 2017 New Generation, мы обеспечиваем надежную многоуровневую защиту данных с помощью технологии Active Protection, и последняя атака прекрасно иллюстрирует эффективность нашей проактивной технологии. Чтобы отразить атаку программы-вымогателя и защитить пользовательские данные, Active Protection не нужно постоянно обновляться, подключаться к интернету или использовать сложные предустановленные правила. Все это позволяет Acronis обеспечивать самое безопасное резервное копирование в мире, предоставляя единственное решение, которое сочетает активный и пассивный подходы к защите данных.


Как Acronis Active Protection борется с Bad Rabbit и любыми попытками кибер-вымогательства


Давайте пошагово рассмотрим, как Active Protection защищает данные от Bad Rabbit.




Прежде всего, Active Protection от Acronis обнаруживает вредоносные DLL-модули, запускаемые через rundll32, рекомендует пользователю заблокировать вредоносный процесс и автоматически отменяет все несанкционированные изменения.


Active Protection также обнаруживает и блокирует попытки зловреда изменить главную загрузочную запись (MBR) вашего жесткого диска.




Наконец, надежные технологии самозащиты, входящие в Active Protection от Acronis, с легкостью предотвращают попытки Bad Rabbit или любой другой программы-вымогателя зашифровать резервные копии.




Ранее в этом году функция самозащиты была независимо протестирована в лаборатории Anti-malware-test.com и признана очень эффективной, в том время как большинство прочих решений для резервного копирования практически не способны к самозащите.





Надежное резервное копирование, способное остановить программу-вымогатель — это безусловная необходимость


Подумайте о том, что, если антивирусная программа не справится и зловред зашифрует резервные копии, ваши данные будут потеряны навсегда.


Поэтому важно выбрать такое решение для резервного копирования, которое:


  • Включает проактивные технологии против программ-вымогателей такие, как Acronis Active Protection.
  • Обеспечивает многослойную защиту, которая работает на всех стадиях потенциальной атаки: предупреждает, противодействует и восстанавливает.
  • Предлагает надежные функции самозащиты, которые не дают программе-вымогателю подвергнуть опасности ни локальные, ни облачные резервные копии.
  • Работает быстро, так как медленное восстановление означает потерю времени и денег. Технологии Acronis прошли независимое тестирование, подтвердившее их преимущество в скорости перед конкурентами.

Надежные решения для резервного копирования от Acronis:


Комментарии (28)


  1. Vkuvaev
    31.10.2017 10:15

    Ренессанс ленточных накопителей?


    1. rub_ak
      31.10.2017 10:23

      А они никуда и не пропадали.
      Развитие LTO тому подтверждение.
      И насколько я слышал, из года в год продажи только растут.


    1. aamonster
      31.10.2017 11:24

      Почему именно ленточных? Бэкап на отдельную машину (или nas), не дающую доступа на запись к предыдущим бэкапам. Можно поднять на древнем унылом компе — например, через rsnapshot.


  1. rokobungi
    31.10.2017 10:37

    Распространяется под видом обновления для Adobe Flash, требующего установки вручную
    [...]
    После этого пользователь загружает файл install_flash_player.exe, который требует административных привилегий в системе. Что забавно – он пытается получить их при помощи стандартного запроса системы контроля учетных записей пользователей (UAC).

    Есть две бесконечные вещи: Вселенная и человеческая глупость. Впрочем, насчет первой я не уверен (Альберт Эйнштейн).


    1. helgisbox
      31.10.2017 14:34

      Тоже не понял: кто дал пользователям админские права раздавать. Пусть они лучше лишний раз поноют, что админ плохой, чем будут ставить сами все подряд.


      1. vorphalack
        31.10.2017 14:47

        мелкие конторы, BYOD, или просто какой-нить подарочек от госорганов, который иначе как под админом не пашет — и привет.


      1. vstrogov Автор
        31.10.2017 14:49

        Не всегда даже подход Default Deny (запрещено все, что не разрешено явно) спасет от угрозы. Уязвимости операционной системы могут позволить внедрить зловредный код при всех правильных настройках и политиках.


  1. vovagubin1987
    31.10.2017 11:23

    Bacula или BareOs спасут от любых шифраторов.


  1. helgisbox
    31.10.2017 14:33

    Не понял: это реклама новой версии акрониса или страшилка по новому витку уязвимости? Как бояться тем, кто написал свои скрипты или программы и бэкапит нужные файлы, вирус как-нибудь узнает, что вот эта вторая или третья копия файла это уже бэкап?


    1. vstrogov Автор
      31.10.2017 14:45

      Это рассказ о только-что прогремевшей угрозе Bad Rabbit и о том, как Acronis Active Protection от нее защищает. А также напоминание о том, что данные резервных копий являются предметом атаки для программы-вымогателя.
      Программе-вымогателю все равно, вторая это или третья копия файла, если ее не остановить, то вполне может зашифровать и все копии нужного вам файла.


      1. bravo-ej
        31.10.2017 15:30

        Это реклама, причём извините меня, совсем бестолковая. То, что вы написали после «Как Acronis Active Protection борется...» можно даже не изменяя, подставить название любого продукта антивирусной защиты. Просто общие маркетинговые слова. Где это самое «как»? Я понимаю, что технические детали технологии являются коммерческой тайной, но уж как то можно было чуть чуть углубиться, а не просто написать «надёжные технологии защиты», «технологии самозащиты», «контроль MBR»…
        Т.е. конечно, чего я удивляюсь, понятно что вы хотите о себе рассказать. Но вы же на хабре, а не на новостном сайте, что бы перепечатать новости очередной раз, а в конце такие «кстати, вот мы защищаем ваши бэкапы от этого».


        1. vstrogov Автор
          31.10.2017 15:36

          Неверно, речь идет именно о интегрированной системе резервного коприрования данных и защиты от программ-вымогателей. Такими свойствами «любой продукт антивирусной зашиты» не обладает.


          1. bravo-ej
            31.10.2017 15:48

            «любой продукт антивирусной защиты» интегрируется в операционную систему для защиты, в числе, от программ вымогателей. Вот так ловко можно подгонять любые формулировки маркетологов под любые ситуации. Тем более, что написать и гарантировать — не одно и то же.
            Вы не уловили мысль. Где можно прочитать в этой статье хоть грамм не маркетинговой воды?
            PS: я всё понимаю, зачем компании пишут на хабре и рассказывают о своих продуктах. Но вам не кажется, что надо хоть немного уважать сообщество и давать какую то полезную информаци о технологиях? А то я прочитал резюме новостей за последнюю неделю по теме, а потом немного рекламы, которую написал маркетолог. Если у вас там всё так хорошо получилось (а я не сомневаюсь, ведь это вполне возможно, так как вы давно на рынке, продукт популярный, вероятно что-то придумали на эту тему), то рассказали бы хотя бы концепцию такой защиты — уже бы сошло за годноту.


            1. vstrogov Автор
              31.10.2017 16:38
              +1

              Наш продукт также интегрируется в операционную систему для защиты от программ вымогателей и при этом интегрирован с бэкапом, предоставляет необходимую оперативную защиту данных, которые потенциально могут быть изменены программой-вымогателем. При этом эту конкретную задачу защиты от программ-вымогателей решаем существенно лучше, чем многие антивирусные продукты. Но мы не ставили себе задачу подробно описывать, как работает продукт.
              Детали же по Bad Rabbit — это не подборка из новостной ленты, а результат оперативных исследований в виде выжимки, ленту новостную формировали в том числе и мы.


              1. bravo-ej
                31.10.2017 16:49
                -1

                вы совсем не ловите меседж


                1. sanrega
                  01.11.2017 01:43

                  Ловит, но низзя.


          1. ximik13
            31.10.2017 15:56

            Есть же не мало альтернатив в бэкапе, где базовая OS медиа-сервера не Windows. Бэкап храниться на файловых системах отличных от FAT/NTFS. Да и сам бэкап выполняется через агент по нестандартным портам и без использования CIFS/SMB. Т.е. в принципе у таких зловредов как BadRabbit и т.п. отсутствует возможность зашифровать уже сохраненные бэкапы. И работает это давно и что называется "из коробки".


  1. Zibx
    31.10.2017 16:13

    Зачем вообще хранить бэкапы на том же диске и иметь возможность их редактировать? Это же противоречит самой идее резервной копии.


    1. vstrogov Автор
      31.10.2017 16:20

      Многим это удобно, кроме того, есть случай внешних дисков, резервная копия как раз там должна находиться и в момент атаки программы вымогателя диск с резервной копией может быть подключен и атакован.


  1. sanrega
    01.11.2017 01:36

    Шёл 2017 год, люди продолжали попадаться на уловку с поддельным Flash Player. Впрочем, ничего удивительного, с учётом того, что мало кто вообще задумывается о том что делает подтверждая всё что угодно. Далее -> Далее -> Готово.


  1. Docent86
    01.11.2017 16:24

    Коллега на работе как раз через обновление Adobe подхватил эту заразу. Говорит вылезло сообщение, что надо обновить, нажал на него. Потом вылезло сообщение что мешает антивирус — отключил экраны Аваста.


    1. vstrogov Автор
      01.11.2017 16:27

      Фальшивое предложение Adobe, как раз об этом и речь.


  1. UnclShura
    01.11.2017 21:46

    А всего-то надо не использовать шареные папки для бекапов (хоть с правами на запись к старым бекапам хоть без). Надо сервер бекапов со своим протоколом и клиент к нему. И все. Проблема шифрования бекапов решена. Не закрытым остается чтение оргинальных файлов с диска. Это да. Но уже сделаные бекапы ничто не потревожит.


    1. vstrogov Автор
      01.11.2017 21:56

      Сервер бекапов, как и облачное хранилище также нуждаются в защите, протокол могут взломать, в агент внедриться.


      1. vorphalack
        03.11.2017 13:11

        поэтому если без агентов не обойтись, они должны быть пассивными, и к ним должен ходить сервер. и при резком изменении объема бекапящихся файлов/их количества — сразу алярмить.


  1. vova4ka_ua
    01.11.2017 21:56

    Реклама ваша с картинками не кстати. Если пользователь согласился на установку «флеш плеера», он и в окнах предупреждения акрониса нажмет «Trust», «Ignore»)))


    1. vstrogov Автор
      01.11.2017 21:57

      Это разные уровни тревоги, пользователи вполне в состоянии с этим разобраться.


      1. vorphalack
        03.11.2017 13:22

        способный разобраться с этим пользователь и на фальшивый адоб не факт что попадется.

        вы, видимо, не встречались с долбодятлами, которые до сих пор жмут на баннеры «вы выиграли!» и вообще не знают что в интерфейсе есть кнопки, отличные от «да» и «продолжить». только тихий режим, только полное отсутствие индикации, и, как я выше написал, желательно реверсную работу бекапа. не засылать, а забирать обновления.