МOСКВA, 25 oктября. /ТAСС/. Oснoвнaя вoлнa рaспрoстрaнeния вируса-шифровальщика BadRabbit, атаке которого подверглись во вторник российские СМИ и украинские компании, завершилась, хотя возможно будут еще зафиксированы единичные случаи заражения. Об этом ТАСС рассказал замглавы лаборатории компьютерной криминалистики компании Group-IB (специализируется на расследовании и предотвращении киберпреступлений) Сергей Никитин.

«Сейчас можно говорить о прекращении активного распространения вируса, третья эпидемия практически завершилась. Даже домен, через который распространялся BadRabbit, уже не отвечает», — сказал он. Никитин отметил, что возможны единичные случаи заражения вирусом, в частности, в корпоративных сетях, где уже были украдены логины и пароли, и вирус может установиться сам, без участия пользователя. Однако уже можно говорить о завершении основной волны третьей эпидемии вируса-шифровальщика в 2017 году, пояснил он.

Смотрите также

Group-IB нашла способ помешать BadRabbit шифровать файлы

Вирус-шифровальщик BadRabbit считают модификацией вируса Petya

По словам Никитина, пользователи сами скачивали обновление Adobe Flash Player, которое на самом деле было фальшивым. «Они самостоятельно одобряли установку этого обновления, и таким образом   заражали свой компьютер», — рассказал он. «Никаких уязвимостей вообще не было, пользователи сами запускали файл», — добавил Никитин. По его словам, попав в локальную сеть, BadRabbit крадет из памяти логины и пароли   и может самостоятельно устанавливаться на другие компьютеры.

Сейчас практически все антивирусные компании добавили этот файл в базу, пояснил Никитин. «Сайты, которые были скомпрометированы, тоже известны», — уточнил он. Расследование Group-IB показало, что раздача вредоносного ПО проводилась с ресурса 1dnscontrol.com после захода на взломанные легитимные сайты. В их числе — fontanka.ru, argumenti.ru и argumentiru.com.

«Доменное имя 1dnscontrol.com имеет IP 5.61.37.209, с этим доменным именем и IP-адресом связаны следующие ресурсы: webcheck01.net, webdefense1.net, secure-check.host, firewebmail.com, secureinbox.email, secure-dns1.net», — рассказали в Group-IB. В компании отметили, что на владельцев этих сайтов зарегистрировано множество ресурсов, например, так называемые «фарм-партнерки» — сайты, которые через спам продают контрафактные медикаменты. «Не исключено, что они использовались для рассылки спама, фишинга», — уточнили в Group-IB.

Чтобы защититься от заражения BadRabbit, компаниям достаточно заблокировать указанные домены для пользователей корпоративной сети, отметил Никитин. Домашним пользователям следует обновить Windows и антивирусный продукт — тогда этот файл будет детектироваться как вредоносный, добавил он.

Владельцы «Плохого кролика»

Кто именно стоит за этой атакой пока не ясно — по словам замглавы лаборатории компьютерной криминалистики Group-IB, расследование еще продолжается. Однако уже сейчас понятно, что это не была целевая атака — были взломаны сайты СМИ, и все пользователи, которые заходили на эти сайты, могли увидеть всплывающее окно и установить вредоносную программу. «Судя по небольшому количеству заражений, в тех организациях, где безопасность лучше, пользователи просто не смогли скачать и запустить этот файл», — уточнил Никитин.

Смотрите также

Самые масштабные и значимые атаки компьютерных вирусов в мире. Досье

Новый вирус-шифровальщик во вторник атаковал сайты ряда российских СМИ. В частности, как сообщали «Лаборатория Касперского» и Group-IB, атакам подверглись информационные системы агентства «Интерфакс», а также сервер петербургского новостного портала «Фонтанка». По данным Group-IB, атаки начались после полудня на Украине — вирус поразил компьютерные сети Киевского метрополитена, министерства инфраструктуры, международного аэропорта Одессы.

В мае компьютеры по всему миру атаковал вирус WannaCry. На зараженных компьютерах блокировалась информация, а за разблокировку данных злоумышленники требовали $600 в биткоинах.

В июне другой вирус под названием Petya атаковал нефтяные, телекоммуникационные и финансовые компании России, Украины и некоторых   стран   ЕС. Принцип его действия был таким же — вирус шифровал информацию и требовал выкуп в размере $300 в биткоинах.

{{item.group_date}}

{{item.suffix?», «+item.suffix:»»}}

Показать еще