Eset представила анализ шифратора Diskcoder.D (Bad Rabbit)
25 окт 2017 15:40 #62679
от ICT
ICT создал тему: Eset представила анализ шифратора Diskcoder.D (Bad Rabbit)
Eset исследовала схему распространения шифратора Win32/Diskcoder.D (Bad Rabbit). Злоумышленники, стоящие за кибератакой 24 октября, использовали скомпрометированные сайты, популярные в России и некоторых других странах, затронутых эпидемией. По данным Eset, Win32/Diskcoder.D – модифицированная версия Win32/Diskcoder.C, более известного как Petya/NotPetya. В новой вредоносной программе исправлены ошибки в шифровании файлов. Теперь шифрование осуществляется с помощью DiskCryptor – легитимного ПО с открытым исходным кодом, предназначенного для шифрования логических дисков, внешних USB-накопителей и образов CD/DVD, а также загрузочных системных разделов диска. Ключи генерируются с использованием CryptGenRandom и защищены жестко закодированным открытым ключом RSA 2048. Файлы зашифрованы с расширением .encrypted. Как и прежде, используется алгоритм AES-128-CBC. Для распространения Diskcoder.D злоумышленники скомпрометировали популярные сайты, внедрив в них вредоносный JavaScript. Среди скомпрометированных площадок – сайты «Фонтанки», «Новой газеты в Санкт-Петербурге» и «Аргументов недели». Атаке шифратора Diskcoder.D подверглись российские СМИ, а также транспортные компании и государственные учреждения Украины. Статистика атак в значительной степени соответствует географическому распределению сайтов, содержащих вредоносный JavaScript. Когда пользователь заходит на зараженный сайт, вредоносный код передает информацию о нем на удаленный С&С-сервер. Далее логика на стороне сервера может определить, представляет ли посетитель сайта интерес, и при необходимости добавляет на страницу новый контент. В Eset наблюдали, как на скомпрометированном сайте появляется всплывающее окно с предложением загрузить обновление для Flash Player. В настоящее время связь вредоносной программы с удаленным сервером отсутствует. Нажав на кнопку «Install/Установить», пользователь инициирует загрузку исполняемого файла, который в свою очередь запускает в системе шифратор Win32/Filecoder.D. Далее файлы жертвы будут зашифрованы, и на экране появится требование выкупа в размере 0,05 биткоина (около 17 руб.). Заразив рабочую станцию в организации, шифратор может распространяться внутри корпоративной сети через протокол SMB. В отличие от своего предшественника Petya/NotPetya, Bad Rabbit не использует эксплойт EthernalBlue – вместо этого он сканирует сеть на предмет открытых сетевых ресурсов. На зараженной машине запускается инструмент Mimikatz для сбора учетных данных. Предусмотрен жестко закодированный список логинов и паролей. Your browser does not support the video tag.
CNews Forum 2017: Информационные технологии завтра
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
Eset поймала авторов трояна-шифратора CryptoFortress на плагиате | 14.99 | Понедельник, 23 марта 2015 |
Eset: источником эпидемии шифратора Petya.C стало скомпрометированное обновление программы M.E.Doc | 14.67 | Среда, 28 июня 2017 |
Eset представила новое поколение Eset NOD32 с защитой онлайн-платежей | 11.58 | Среда, 14 октября 2015 |
Eset представила в России Eset Cloud с удаленным управлением антивирусами | 11.57 | Понедельник, 10 июля 2017 |
Eset представила специальную версию Eset NOD32 для МТС | 11.41 | Среда, 20 апреля 2016 |
Eset представит новую бизнес-версию решений Eset NOD32 на мероприятиях Eset Road Show | 10.09 | Пятница, 17 апреля 2015 |
Вирусом Bad Rabbit займется Интерпол | 9.79 | Четверг, 02 ноября 2017 |
Обновлена статистика атак шифратора Petya | 9.69 | Пятница, 30 июня 2017 |
«Ростелеком» отразил атаку вируса Bad Rabbit | 9.69 | Понедельник, 30 октября 2017 |
«Ростелеком» отразил атаки вируса Bad Rabbit на сети корпоративных клиентов | 9.38 | Пятница, 27 октября 2017 |