"Гра престолів" у комп'ютерному вірусі: Особливості останньої хакерської атаки на Україну

Відповіді на основні питання, рекомендації та інша важлива інформація щодо вірусної атаки, що сталася 24 жовтня

Фото з відкритих джерел

"Рік хакерських атак" в Україні триває. З моменту попередньої атаки минуло менше шести місяців, й ось низка українських установ, серед яких аеропорт "Одеса" і київський метрополітен, знову піддалися "комп'ютерному нападу". І знову в центрі уваги вірус-шифрувальник.

При цьому, у кіберполіції заявили, що для вірусної атаки було використано один з найбільших ботнетів світу. Фахівці також стверджують, що основою для атаки на низку установ була вразливість DDE.

Що все це означає і які особливості хакерської атаки – розбираємося далі.

Чому "рік хакерських атак"?

Тому що саме 2017 рік проходить під знаком масових кібератак. У червні 2017 року Україна пережила, мабуть, найсильнішу хакерську атаку за весь час незалежності. Тоді, 27 червня, багато систем вразив вірус-вимагач NotPetya, який опинився модифікованим аналогом інших подібних вірусів, наприклад, відомого вірусу WannaCry.

Фото з відкритих джерел

Під час літньої хакерської атаки постраждали системи близько 30 банків, "Укрзалізниці", аеропорту "Бориспіль", "Укрпошти", київського метрополітену, ДТЕК, "Укренерго" та інших компаній.

Вірус Petya З відкритих джерел

Масштаби нинішньої атаки поки невідомі, хоча як жертви вже названо системи київського метрополітену та аеропорту "Одеса". Джерела також повідомляли про атаку на систему Міністерства інфраструктури, але згодом ця інформація була спростована: у відомстві послалися на технічні роботи.

Що таке вірус-вимагач (ransomware)?

Термін "ransomware" походить від слів ransom– викуп і software– програмне забезпечення. На даний момент таке зловмисне програмне забезпечення використовує три типи підходів: шифрування файлів у системі, блокування або перешкода роботі системи, а також блокування або перешкода роботі в браузерах.

Фото з відкритих джерел

Вірус NotPetya, який засвітився під час літньої кібератаки, блокує доступ до файлів на комп'ютері, шифрує їх і вимагає викуп у розмірі 300 доларів на адресу bitcoin-гаманця. За схожою схемою діє і вірус, що використовувався у вчорашній атаці.

Що це був за вірус?

У коментарі агентству Reuters глава української кіберполіції Сергій Демидюк підтвердив, що атака відбувалася з допомогою вірусу-здирника BadRabbit.

Фото з відкритих джерел

BadRabbit - це новий вірус-вимагач, який вже встиг атакувати чотири країни: Україну, Росію, Туреччину та Німеччину.

Його основні особливості:

- Дуже швидке поширення. Фахівці порівнюють його швидкість зі швидкістю WannaCry і Petya.

- Зараження через оновлення. Вірус "заходить" у комп'ютер під виглядом фейкового оновлення для Adobe Flash Player, пише в Twitter аналітик ESET Іржі Кропак. Втім, швидше за все, цей шлях – не єдиний, вивчення вірусу триває.

- Щоб розшифрувати файли необхідно ввести пароль. Для отримання паролю потрібно: а) зайти на сайт за адресою caforssztxqzf2nm.onion у даркнеті. Для цього потрібно використовувати браузер Tor, б) ввести довгий шифр з повідомлення, яке з'явиться на екрані комп'ютера. Після цього стане доступною адреса bitcoin-гаманця.

Фото з відкритих джерел

- Перевести на цю адресу як викуп 0,05 біткоїна (приблизно 300 доларів).

Важливо: на переведення викупу дається 48 годин. Після закінчення терміну ціна за розшифровку зросте, наскільки – невідомо.

Зазначимо, що дещо іншу інформацію спочатку надали в команді реагування на комп'ютерні надзвичайні події України (CERT-UA).

На своєму сайті вони повідомили, що під час атаки 24 жовтня використовувалася техніка DDE, яка поширювала шифрувальник Locky.

Фото з відкритих джерел

DDE(DynamicDataExchange) – механізм взаємодії додатків у Windows. Він дозволяє одним додаткам Office завантажувати дані з інших додатків Office. Наприклад, таблиця Word может автоматично оновлюватися при кожному відкритті, "підтягуючи" дані з Exel.

Шифрувальник Locky – досить відомий криптовимагач, який станом на 1 вересня 2017 року посідав перше місце за обсягом зібраних коштів серед вірусів-вимагачів, про що свідчать дані дослідження Google.

Locky потрапляє на комп'ютер за допомогою листа в електронній пошті. Наприклад, у 2016 році він "прикидався" виставленим користувачеві рахунком.

Скрипт, який використовувався у нинішній атаці, за даними CERT, запускав шкідливий код після активації користувачем гіперпосилання.

Простіше кажучи, подібний вид шифрувальників користується звичкою користувачів ПК відкривати незрозумілі листи в своїй пошті.

Пізніше в СERT офіційно підтвердили участь в атаці також вірусу BadRabbit. Таким чином, у вчорашній кібератаці, по суті, брали участь два віруси.

Як убезпечити свій комп'ютер

СERT-UA вже випустили низку рекомендацій щодо того, що необхідно зробити, щоб убезпечити свій комп'ютер від шкідливого коду Locky.

У свою чергу фахівці GROUP IB (компанії, яка спеціалізується на інформаційній безпеці) дали рекомендації щодо боротьби з BadRabbit.

Зокрема вони знайшли можливість зупинити повноцінну атаку – так званий "killswitch".

Фото з відкритих джерел

Для цього необхідно створити файл C:\windows\infpub.dat і поставити йому права "тільки для читання". У компанії заявляють, що після цих дій навіть у разі зараження файли не буде зашифровано.

Крім того, користувачам радять оновити операційні системи і системи безпеки, ізолювати заражені комп'ютери, заблокувати IP адреси, з яких приходили шкідливі файли і поставити користувачеві блокування спливаючих вікон.

Також необхідно заборонити зберігання паролів у LSA Dump у відкритому вигляді, змінити всі існуючі паролі на складні і, що особливо цікаво, заборонити виконання наступних завдань: viserion, rhaegal, drogon.

BadRabbit і "Гра престолів"

Фанатам творчості Джорджа Мартіна назви завдань повинні бути знайомими: так звали трьох драконів однієї з головних героїнь "Гри престолів" - Даєнеріс Таргарієн.

Три дракони Дейенеріс Фото з відкритих джерел

Це, до речі, не перший подібний випадок: за даними ЗМІ, відсилання до відомого серіалу також було помічено в одному зі скриптів Locky, для розповсюдження якого в Україні, як уже згадувалося, використовувався один із найбільших великих ботнетів світуNecurs.

Що таке ботнет Necurs?

Для початку пояснимо, що взагалі значить ботнет. Це комп'ютерна мережа із запущеними ботами – автономним програмним забезпеченням.

За оцінкою творця протоколу TCP/IP Вінта Серфа, близько чверті з 600 млн комп'ютерів, підключених до інтернету, можуть перебувати в ботнетах.

Дуже часто бот у складі ботнета є програмою, яка потай встановлюється на пристрій жертви і дозволяє зловмиснику виконувати якісь дії з використанням зараженого комп'ютера. Наприклад, вимагати гроші за дешифрування.

Фото з відкритих джерел

Ботнет Necurs, за різними даними, налічує від 5 до 6 мільйонів заражених пристроїв. Раніше він якраз і був відомий насамперед поширенням шифрувальника Locky. Цікаво, минулого року на деякий час Necurs зникав з уваги, змушуючи припускати навіть смерть мережі, однак зникнення тривало лише три тижні.

У 2016 році експерти Proofpoint оцінювали сукупний дохід, який залучався програмами Necurs, у 100-200 тисяч доларів на добу.

За оцінками 2015 року, за добу Necurs розсилав до 100 млн спамерських листів. Враховуючи постійне вдосконалення ботнету, цілком ймовірно, що на даний момент його потужності збільшилися.

Новини за темою: Хакерська атака на Україну: Як вберегтися і як позбутися віруса-здирника

Джерело: 112.ua

відео по темі

Новини за темою

Новини партнерів

Загрузка...

Віджет партнерів