Вирус Bad Rabbit — как защититься и удалить угрозу

Всем привет! Буквально на днях в России и Украине, Турции, Германии и Болгарии началась масштабная хакерская атака новым вирусом-шифровальщиком Bad Rabbit, он же Diskcoder.D. Шифровальщик на данный момент атакует корпоративные сети больших и средних организаций, блокируя все сети. Сегодня мы расскажем что из себя представляет этот троян и как можно защититься от него.

Что за вирус?

Bad Rabbit (Плохой Кролик) действует по стандартной для шифровальщиков схеме: попадая в систему, он кодирует файлы, за расшифровку которых хакеры требуют 0,05 биткоина, что по курсу составляет 283$ (или 15 700 руб). Об этом сообщается отдельным окном, куда собственно и требуется вводить купленный ключ. Угроза относится к типу троянов Trojan.Win32.Generic, однако в нем присутствуют и другие компоненты, такие как DangerousObject.Multi.Generic и Ransom.Win32.Gen.ftl.

Bad-Rabbit-новый-вирус-шифровальщик
Bad Rabbit — новый вирус шифровальщик

Полностью отследить все источники заражения пока сложно, но специалисты этим сейчас занимаются. Предположительно угроза попадает на ПК через зараженные сайты, на которых настроено перенаправление, либо под видом фейковых обновлений для популярных плагинов типа Adobe Flash. Список таких сайтов пока только расширяется.

Можно ли удалить вирус и как защититься?

Сразу стоит сказать, в данный момент все антивирусные лаборатории принялись за анализ этого трояна. Если конкретно искать информацию по удалению вируса, то её, как таковой, нет. Отбросим сразу стандартные советы — сделайте бекап системы, точку возврата, удалите такие-то файлы. Если у вас нет сохранений, то все остальное не работает, хакеры такие моменты, в силу спецификации вируса, продумали.

Я думаю, в течении скорого времени будут распространятся сделанные аматорами дешифраторы для Bad Rabbit — вестись на эти программки или нет — ваше личное дело. Как показал прошлый шифровальщик Petya, это мало кому помогает.

Экран-заблокированного-трояном-компьютера
Экран заблокированного трояном компьютера

А вот предупредить угрозу и удалить её при попытке залезть в ПК можно. Первыми на сообщения о вирусной эпидемии отреагировали лаборатории Kaspersky и ESET, которые уже сейчас блокируют попытки проникновения. Браузер Google Chrome также начал выявлять зараженные ресурсы и предупреждать об их опасности. Вот что нужно сделать для защиты от BadRabbit в первую очередь:

  1. Если вы используете для защиты Касперский, ESET, Dr.Web, либо другие популярные аналоги, то вам необходимо обязательно выполнить обновление баз данных. Также, для Касперского необходимо включить «Мониторинг активности» (System Watcher), а в ESET примените сигнатуры с обновлением 16295.

    Включение-Мониторинга-активности-в-Касперском
    Включение Мониторинга активности в Касперском
  2. Если вы не пользуетесь антивирусами, тогда необходимо заблокировать исполнение файлов C:\Windows\infpub.dat и C:\Windows\cscc.dat. Делается это через редактор групповых политик, либо программку AppLocker для Windows.
  3. Желательно запретить выполнение службы — Windows Management Instrumentation (WMI). В десятке служба называется «Инструментарий управления Windows». Через правую кнопку войдите в свойства службы и выберите в «Тип запуска» режим «Отключена».

    Отключение-службы-WMI-в-Windows-10
    Отключение службы WMI в Windows 10
  4. Обязательно сделайте резервную копию вашей системы. По идее, копия должна всегда храниться на подключаемом носителе. Вот небольшая видео-инструкция по её созданию.

Заключение

В завершении стоит сказать самое главное — не стоит платить выкуп, что бы у вас ни было зашифровано. Такие действия только подстрекают мошенников создавать новые вирусные атаки. Отслеживайте форумы антивирусных компаний, которые, я надеюсь, в скором времени изучат вирус Bad Rabbit и найдут эффективную таблетку. Обязательно выполните вышеописанные пункты по защите вашей ОС. В случае сложностей в их выполнении, отпишитесь в комментариях.

13 комментариев на “Вирус Bad Rabbit — как защититься и удалить угрозу

  • · Edit

    Так это сами производители антивирусов и создают такие эпидемии, если первыми затрубили Касперские, значит они и виноваты! )))

    Ответить
  • Ну так если вирус затрагивает только большие корпоративные сети, чего боятся нам. Пусть их высокооплачиваемые специалисты решают эту проблему и борются с вымогателем. Я свою десятку в крайнем случае переустановлю и все.

    Ответить
    • Автор · Edit

      Да, да! С Петей тоже все так начиналось, а потом вирус перебросился с таких сетей на обычных пользователей. Люди добрые! Храните все важные данные в облаке!

      Ответить
      • · Edit

        А что облако это не «железо»? Или у них есть возможность защиты от новых угроз?

        Ответить
    • · Edit

      Вы не поняли! Перестановка не решает проблему. Файл зашифровывается и система не знает исходный код для чтения зашифрованного файла. У неё его просто Н Е Т. Выход только удалить файл и попрощаться навсегда с драгоценной информацией, которая зашифрована или сделать резервную копию ваших документов, до заражения разумеется. Антивирус не лечит он только может вовремя заблокировать и всё. Лечение у того кто создал а надеяться на милость даже за деньги глупо. Этим то и опасен шифровальщик.

      Ответить
      • Автор · Edit

        Видимо он имел ввиду полную переустановку с форматированием. Если на ПК хранятся фотки, игры да песни — многие просто удалят и все.

        Ответить
        • · Edit

          В любом случае самый идеальный вариант это своевременный backup и хранение не стороннем носителе.

          Ответить
  • · Edit

    Очередное подтверждение того, что не нужно лазить по левым ресурсам и качать всякий шлак. Мы с петей намучались в своей фирме летом, теперь хоть умнее стали.

    Ответить
  • Автор · Edit

    Еще немного новой информации от ESET:
    BadRabbit, он же Diskcoder.D — является модифицированной версией Diskcoder.C (он же Petya/NotPetya). Хакеры исправили некоторые недочеты в шифровании. Теперь кодировка осуществляется при помощи официального ПО — DiskCryptor. Кто не знает, эта программка шифрует логические диски, USB-накопители, образы CD/DVD и системные разделы диска, отвечающие за загрузку.
    Ключ генерируется при помощи CryptGenRandom, а они защищены очень хорошо ключом RSA 2048. Все файлы шифруются под расширением .encrypted. Как и в случае с Петей, используется алгоритм AES-128-CBC.
    На зараженных сайтах присутствует вредоносный код JavaScript, которые запускает сообщения про обновление Flash Player или Java. Нажав установить, вы загружаете на компьютер BadRabbit.
    Будьте внимательны!

    Ответить
    • Ну если там официальное по используется, тогда вирус по любому легко заражает Windows, наверное и цифровая подпись еще совпадает с разработчиками, как всегда такое проверяется.

      Ответить
      • Автор · Edit

        Да какая цпр! DiskCryptor это программка с открытым кодом, то есть открыта для всех разработчиков и может быть модифицирована.

        Ответить
    • Автор · Edit

      Ахахах) Хочешь заработать? Скачай просто DiskCryptor и шифруй систему или отдельные файлы сколько влезет…

      Ответить

Добавить комментарий

Ваш email нигде не будет показан. Обязательные поля помечены *