Новий вірус Bad Rabbit вразив 24 жовтня одеський аеропорт, Мінінфраструктури, Київметрополітен, а також сервери кількох російських ЗМІ. Наразі фахівці вивчають, чи схожий він на Petya. Про це повідомляють Факти. Поки невідомо, чи пов’язані всі ці атаки, але всі вони сталися приблизно в один і той же час, пише передає TJ. Що відомо про вірус Bad Rabbit: Зараження Bad Rabbit нагадує ситуацію з Petya, оскільки у травні 2017 року від нього постраждали в основному компанії в Росії та в Україні. Однак у компанії Group-IB кажуть, що сам Bad Rabbit не схожий на Petya.A або WannaCry. Ситуація проясниться після вивчення заражених комп’ютерів. Вірус заражає комп’ютер, шифруючи на ньому файли. Отримати доступ до них неможливо. На екрані комп’ютера відображається докладне повідомлення з інструкціями: в Telegram-каналі Group-IB опублікували фото прикладів таких заражених комп’ютерів. В інструкції сказано, що для розшифровки файлів потрібно лише ввести пароль. Але щоб його отримати, потрібно пройти чималий шлях. По-перше, зайти на спеціальний сайт за адресою caforssztxqzf2nm.onion в даркнеті – для цього потрібен браузер Tor. При цьому сайт всюди вказано однаковий. На сайті і вказано назву вірусу. Щоб отримати пароль на розшифровку даних, хакери вимагають ввести так званий персональний код установки – довгий шифр з повідомлення, що виводиться на екрані комп’ютера. Після цього з’явиться адреса біткоін-гаманця, на який потрібно перевести гроші. Вимагачі вимагають викуп – 0,05 біткоіни за кожен комп’ютер. Це приблизно 283 долара (Petya.A теж вимагав близько 300 доларів). Вони дають всього дві доби на виплату початкового викупу. Після закінчення цього терміну ціна за розшифровку файлів зросте, наскільки – невідомо. Перевірити адресу біткоін-гаманця, на який хакери отримують кошти, за допомогою доступних кодів з фотографій Group-IB не вийшло. Аналітики з ESET стверджують, що вірус Bad Rabbit поширюється під виглядом фейкового оновлення плагіна Adobe Flash. Судячи зі скриншоту, заражені сайти видань Суть событий (argumentiru.com) і Аргументы недели Крым (an-crimea.ru). Рекомендації CERT—UA: Заблокувати доступ до зазначених посилань. hxxp://urcho.com/JHGGsdsw6 hxxp://tatianadecastelbajac.fr/kjhgFG hxxp://video.rb-webdev.de/kjhgFG hxxp://themclarenfamily.com/kjhgFG hxxp://webhotell.enivest.no/cuYT39.enc hxxp://gdiscoun.org Встановити оновлення Windows, які усувають вразливість DDE в Microsoft Office (CVE-2017-11826). (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11826) Забезпечити неприпустимість відкриття вкладень у підозрілих повідомленнях (у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів і т.ін.). Системним адміністраторам і адміністраторам безпеки звернути увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштовогой веб-трафіку. Не працювати під правами адміністратора. Обмежити можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.