У поліції назвали мотиви хакерів, які влаштували кібератаку

На відміну від "NotPetya" вірус-шифрувальник "BadRabbit" не має на меті знищення інформації на жорстких дисках уражених комп'ютерів, його мета – вимагання грошей. Про це повідомили в Кіберполіції.

"Фахівці відзначають, що справжньою метою цієї" атаки "було бажання зловмисників збагатитися і вона була здійсненна виключно з корисливих мотивів", – йдеться в повідомленні.

Для поширення вірусу використовувалися "фейкові" оновлення програмного забезпечення "Adobe Flash Player". Про це можна говорити на підставі попереднього аналізу даних, отриманих в результаті роботи фахівців підрозділу.

Як зазначається, 24 жовтня було зафіксовано поодинокі атаки типу "drive-by-download" з використанням програми шифрувальника, який отримав назву "BadRabbit".

"Слід зазначити, що серед постраждалих країн, Україну вразило менше. Кіберполіція зазначає, що аудиторія українських користувачів не є масовою і становить близько 12% від загальної кількості разів скачування інфікованих оновлень", – йдеться в повідомленні.

Кіберполіція також надала перелік уражених інтернет сайтів, з яких було зафіксовано поширення фальшивих Оновлення "Flash":

• Hxxp: // argumentiru Com
• Hxxp: //www.fontanka Ru
• Hxxp: // grupovo Bg
• Hxxp: //www.sinematurk Com
• Hxxp: //www.aica.co Jp
• Hxxp: // spbvoditel Ru
• Hxxp: // argumenti Ru
• Hxxp: //www.mediaport Ua
• Hxxp: //blog.fontanka Ru
• Hxxp: // an-crimea Ru
• Hxxp: //www.t.ks Ua
• Hxxp: // most-dnepr Info
• Hxxp: //osvitaportal.com Ua
• Hxxp: //www.otbrana Com
• Hxxp: //calendar.fontanka Ru
• Hxxp: //www.grupovo Bg
• Hxxp: //www.pensionhotel Cz
• Hxxp: //www.online812 Ru
• Hxxp: //www.imer Ro
• Hxxp: //novayagazeta.spb Ru
• Hxxp: //i24.com Ua
• Hxxp: //bg.pensionhotel Com
• Hxxp: // ankerch-crimea Ru

Як зазначається, після відвідування ураженого сайту, користувачеві пропонується завантажити до себе на комп'ютер виконуваний файл-завантажувач (так званий "Дроппер"), який маскується під оновлення програмного забезпечення "Adobe Flash Player". Шкідлива програма для подальшого спрацювання повинна запускатися з правами адміністратора.

Кіберполіція також представила рекомендації для користувачів, щоб не стати жертвою вірусу-шифрувальника або вимагача на кшталт "BadRabbit":

• робіть тіньове копіювання файлів для відновлення даних у разі шифрування.
• заблокуйте виконання файлів c: \ windows \ infpub.dat, C: \ Windows \ cscc.dat;
• заборонити (якщо це можливо) використання служби WMI;
• заборонити виконання наступних завдань: viserion_, rhaegal, drogon;
• проведіть оновлення операційної системи і системи безпеки;
• заблокуйте ip-адреси і доменні імена, з яких відбувалося поширення шкідливих файлів;
• налаштуванням групової політики забороніть зберігання паролів в LSA Dump у відкритому вигляді;
• змініть всі паролі на складні для запобігання атаки по словнику (brute-force)
• налаштуйте блокування спливаючих вікон у браузері;
• застосувати сучасні засоби виявлення вторгнень і пісочницю ( "sandbox") для аналізу підозрілих файлів;

Раніше повідомлялося, що співробітники Служби безпеки України оперативно проаналізували і блокували нові випадки ураження комп'ютерів українського сегмента мережі шкідливим програмним забезпеченням.

Нагадаємо, 24 жовтня кібератакам піддалися Київський метрополітен і Одеський аеропорт, де в результаті дії вірусу-шифрувальника було заблоковано функціонування служби реєстрації пасажірів. Розповсюдження вірусу припинено, загроз безпеки руху немає ", – заявили в СБУ.

У спецслужбі підкреслили, що для запобігання несанкціонованого блокування інформаційних систем необхідно дотримуватися наступних рекомендацій:

• забезпечити щоденне оновлення системного програмного забезпечення, в т.ч. OS Windows всіх без винятку версій, також обов'язково встановити оновлення KB3213630 (Windows 10);
• в настройках мережевої безпеки заблокувати доступ до домену x90DOTim, з якого завантажується шкідливе програмне забезпечення (Увага! Не відкривати в браузері! При блокуванні замінити DOT на точку);
• не відкривати вкладення електронної пошти, в тому числі в форматах .doc та .rtf, що надійшли від неперевіреного відправника;
• забезпечити дотримання загальних правил інформаційної безпеки, зокрема створення резервних копій, своєчасне оновлення антивірусного і прикладного програмного забезпечення.

Команда швидкого реагування на комп'ютерні надзвичайні події України (CERT-UA) опублікувала свої рекомендації щодо захисту комп'ютера від вірусу-шифрувальника Locky на основі попереднього аналізу зараженого файлу..