Bad Rabbit: новая волна атак с использованием вируса-шифровальщика

[AntonAlekseevich]

Хмм… Может в будущем удастся эти данные дешифровать. Пока отслеживаю.
Но как вижу PIK разный на всех зараженных машинах.
Интересно, а пароль у этого криптора может быть как 564820731?

Пока только отслеживаю.

[lostpassword]

https://securelist.com/bad-rabbit-ransomware/82851/
IoC, последовательность заражения, скрины IDA Pro с непонятными символами, вот это всё.

[Spewow]

https://blog.malwarebytes.com/threat-analysis/2017/10/badrabbit-closer-look-new-version-petyanotpetya/

Mimikatz и брут паролей, способствовал расползанию по сеткам. Непонятно почему все говорят о направленных атаках. Тут шла не адресная рассылка, а ломали всех без разбору кто новостные сайты посещал.
Взлом популярных сайтов это уже много раз было.

[scruff]

Патчи от MS кто-нибудь видел по этой уязвимости?

[Germanets]

Судя по всему, никакой уязвимости и не было — просто доверчивые пользователи получали exe'шник, подтверждали скачивание и запуск, а дальше был банальный брут админских паролей и использование Mimikatz, чтобы получить инфу об учётках залогинившихся юзеров…

[DoctorRoza]

Какие операционные системы в зоне заражения?

[abyrkov]

Похоже, все более-менее современные винды

[NikiN]

Под Wine-ом работает?

[teecat]

Все признаки указывают на то, что это целенаправленная атака на корпоративные сети.

Можно поподробнее про признаки? Как отсеивали посетителей сайтов для атак на корпоративные сети?

[alex-1917]

Решил пока кабель RJ-45 из розетки вытащить, маякните, как все утихнет…

[Tufed]

Шапочку забыли.

[hdfan2]

Ок, как закончится, три раза поморгаем солнцем.

[AntonAlekseevich]

Ethernet то зачем? (Просто могли сломать руты.(Конечно если вы в Windows, то отключили бы IPv4/IPv6 протоколы.))
А так всё уже упеклось.
Домен распространения закрыт.

[Germanets]

Зачем всё так усложнять? Вырубил питание — и нет проблем…

[AntonAlekseevich]

Зачем всё так усложнять?

Это ещё пока просто.

Вырубил питание — и нет проблем…

А если нужно чтобы работал?

[kvaps]

В любой непонятной ситуации ложитесь спать.

[evmenkov]

Таким образом, помимо создания дат файлов, обновлений ОС, нужно напомнить пользователям, чтобы не скачивали/инсталлировали Adobe Flash installer.

И все?

[Wernisag]

очевидно, что ещё нужно забрать права Администратора

[Solovej]

А если создать самому файлы: C:\windows\infpub.dat, C:\Windows\cscc.dat и потом выставить этому файлу права «только для чтения»?

[AntonAlekseevich]

Спустя 36 часов после его обнаружения, внутренности уже исследованы компаниями ну и подготовлен краткий дайджест о Ransomeware от Ройса Уильемса. Занимающегося разработкой открытого программного обеспечения для восстановления доступа к компьютерной системе.

[AntonAlekseevich]

Очень сильно ошибся со в временем.(На ~24 часа.) И даже не дайджест, а краткая информация не "о Ransomeware", а "о Bad Rabbit"

[konststar]

Я не местный, но… Как может файл .exe загрузиться и тем более запуститься без ведома администратора или пользователя компьютера?

[arthur_veber]

Пользователь заходит на сайт, появляется всплывающее окно типа «обновление flash плеера», пользователь нажимает ок-далее-далее…
Всё ))

[little-gremlin]

Я хапнул этого гада с сайта фонтанка ру. Обманулся обновлением флеш-плеера, хотя читал информацию про то, что его «похоронили».
Помогла переустановка ОС. Вирус не затронул мои файлы, которые лежали на другом винте.

[Germanets]

Вирус не затронул мои файлы, которые лежали на другом винте.

— Он зашифровал только системный диск и не тронул остальное, или просто не успел?

[little-gremlin]

я думаю, тупо не успел. ОС стоит на винте в 500 Гб, а данные на 1.5Тб.
Когда я опомнился, комп не отвечал ни какие шевеления ОС. Поэтому я тупо нажал Reset, потому что он не откликался даже на три пальца.
Думаю, это меня и спасло.

[Archikoff]

Если уж пользователи хабры ведутся…

[Stochkas]

мало подробностей. судя по касперскому вообще на какой то фейк смахивает.

[itl]

Возможность распространения и исполнения такого — это сознательный выбор пользователей (потерпевших). Сколько, какое время назад было сказано про элементарные пути защиты.
Это особенно касается таких крупных контор, как перечисленные СМИ, Киевский метрополитен и тем более международный аэропорт.
Админов и руководство надо тестировать при приеме на работу и периодически проводить превентивный ликбез по безопасности.
В этом случае, судя по всему, обошлось без ошибок в софте. А значит должны были сработать такие первоначальные меры, как ограничения учеток и srp (или аналоги).

[A31F]

Пора свою OC придумывать…

[bisor]

Не имею отношения к админству и хелпдеску, но чем больше такого дерьма, тем больше рабочих мест для вышеназванных. По-моему, выгода для экономики ))
По сабжу: вирус расчитан на дебилов и хомячов (home user), ибо во всех более менее «корпоративных сетях» стоят фильтры на exe файлы, как в почте так и на проксях. Делается очень просто и бесплатными средствами ))

[ALexhha]

ибо во всех более менее «корпоративных сетях» стоят фильтры на exe файлы, как в почте так и на проксях. Делается очень просто и бесплатными средствами ))

следующая версия вируса будет идти в zip, его тоже предлагаете запретить?

[Germanets]

Незапароленные zip вполне себе проверяются и фильтруются по контенту…

[ALexhha]

Заражать можно и через обычные doc файлы, так что полностью не защитишься. Можно лишь снизить шанс