В полиции назвали мотивы хакеров, устроивших кибератаку

В отличии от "NotPetya" вирус-шифровальщик "BadRabbit" не имеет целью уничтожение информации на жестких дисках пораженных компьютеров, его цель – вымогательство денег. Об этом сообщили в Киберполиции.

"Специалисты отмечают, что настоящей целью этой "атаки" было желание злоумышленников обогатиться и она была осуществима исключительно из корыстных побуждений", – говорится в сообщении.

Для распространения вируса использовались "фейковые" обновления программного обеспечения "Adobe Flash Player". Об этом можно говорить на основании предварительного анализа данных, полученных в результате работы специалистов подразделения.

Как отмечается, 24 октября было зафиксировано единичные атаки типа "drive-by-download" с использованием программы шифровальщика, который получил название "BadRabbit".

"Следует отметить, что среди пострадавших стран, Украину поразило меньше. Киберполиция отмечает, что аудитория украинских пользователей не является массовой и составляет около 12% от общего количества раз скачивания инфицированных обновлений", – говорится в сообщении.

Киберполиция также предоставила перечень пораженных интернет сайтов, с которых было зафиксировано распространение фальшивых Обновление "Flash":

• Hxxp: // argumentiru Com
• Hxxp: //www.fontanka Ru
• Hxxp: // grupovo Bg
• Hxxp: //www.sinematurk Com
• Hxxp: //www.aica.co Jp
• Hxxp: // spbvoditel Ru
• Hxxp: // argumenti Ru
• Hxxp: //www.mediaport Ua
• Hxxp: //blog.fontanka Ru
• Hxxp: // an-crimea Ru
• Hxxp: //www.t.ks Ua
• Hxxp: // most-dnepr Info
• Hxxp: //osvitaportal.com Ua
• Hxxp: //www.otbrana Com
• Hxxp: //calendar.fontanka Ru
• Hxxp: //www.grupovo Bg
• Hxxp: //www.pensionhotel Cz
• Hxxp: //www.online812 Ru
• Hxxp: //www.imer Ro
• Hxxp: //novayagazeta.spb Ru
• Hxxp: //i24.com Ua
• Hxxp: //bg.pensionhotel Com
• Hxxp: // ankerch-crimea Ru

Как отмечается, после посещения пораженного сайта, пользователю предлагается загрузить к себе на компьютер исполняемый файл-загрузчик (так называемый "Дроппер"), который маскируется под обновление программного обеспечения "Adobe Flash Player". Вредоносная программа для дальнейшего срабатывания должна запускаться с правами администратора.

Киберполиция также представила рекомендации для пользователей, чтобы не стать жертвой вируса-шифровальщика или вымогателя вроде "BadRabbit":

• делайте теневое копирование файлов для восстановления данных в случае шифрования.
• заблокируйте выполнения файлов c: \ windows \ infpub.dat, C: \ Windows \ cscc.dat;
• запретить (если это возможно) использование службы WMI;
• запретить выполнение следующих задач: viserion_, rhaegal, drogon;
• проведите обновление операционной системы и системы безопасности;
• заблокируйте ip-адреса и доменные имена с которых происходило распространение вредоносных файлов;
• настройкой групповой политики запретите хранения паролей в LSA Dump в открытом виде;
• измените все пароли на сложные для предотвращения атаки по словарю (brute-force)
• настройте блокировку всплывающих окон в браузере;
• применить современные средства обнаружения вторжений и песочницу ("sandbox") для анализа подозрительных файлов;

Ранее сообщалось, что сотрудники Службы безопасности Украины оперативно проанализировали и блокировали новые случаи поражения компьютеров украинского сегмента сети вредоносным программным обеспечением.

Напомним, 24 октября кибератакам пподверглись Киевский метрополитен и Одесский аэропорт, где в результате действия вируса-шифровальщика было заблокировано функционирование службы регистрации пассажиров.аспространение вируса прекращено, угроз безопасности движения нет", – заявили в СБУ.

В спецслужбе подчеркнули, что для предотвращения несанкционированного блокирования информационных систем необходимо придерживаться следующих рекомендаций:

• обеспечить ежедневное обновление системного программного обеспечения, в т.ч. OS Windows всех без исключения версий, также обязательно установить обновление KB3213630 (Windows 10);
• в настройках сетевой безопасности заблокировать доступ к домену x90DOTim, с которого загружается вредоносное программное обеспечение (Внимание! Не открывать в браузере! При блокировании заменить DOT на точку);
• не открывать вложения электронной почты, в том числе в форматах .doc и .rtf, поступившие от непроверенного отправителя;
• обеспечить соблюдение общих правил информационной безопасности, в частности создание резервных копий, своевременное обновление антивирусного и прикладного программного обеспечения.

Команда быстрого реагирования на компьютерные чрезвычайные события Украины (CERT-UA) опубликовала свои рекомендации по защите компьютера от вируса-шифровальщика Locky на основе предварительного анализа зараженного файла.