Кіберполіція знайшла в коді вірусу BadRabbit відсилання до “Гри престолів”
Кіберполіція розповіла подробиці дії вірусу-шифрувальника “BadRabbit”, який використали хакери для масштабної кібератаки 24 жовтня.
Результати попереднього аналізу даних, отриманих у результаті роботи фахівців підрозділу, оприлюднені на сайті Кіберполіції.
“В коді “BadRabbit” були виявлені відсилання до фентезійного телесеріалу “Гра престолів”. Наприклад, заплановані завдання мають імена трьох драконів з серіалу: Drogon, Rhaegal, Viserion. Раніше схожі послання до популярної фентезійної саги були помічені світовими експертами в складі одного з скриптів, який використовувався для розповсюдження відомого шифрувальника “Locky”, - зазначається в повідомленні.
Кіберполіцейські також констатують, що в коді “BadRabbit” є дубльовані та аналогічні елементи коду “Petya”/”NotPetya”.
“На відмінність від “NotPetya” шифрувальник “BadRabbit” не є "вайпером, тобто він не має на меті знищення інформації на жорстких дисках уражених комп’ютерів. Спеціалісти зазначають, що справжньою метою цієї “атаки” було бажання зловмисників збагатитися і вона була здійсненна виключно з корисливих мотивів”, - заявляють у Кіберполіції.
Як інформують у прес-службі, серед постраждалих країн, Україну уразило найменше.
“Кіберполіція відзначає, що аудиторія українських користувачів не є масовою та складає близько 12% від загальної кількості разів завантаження інфікованих оновлень”, - йдеться в повідомленні.
Фахівці з Кіберполіції встановили, що ключовою відмінністю між “Petya”/”NotPetya” та “BadRabbit” є те, що початкові вектори атаки відрізняються.
“BadRabbit” для поширення в якості основного вектору використовує ураженні сайти, з яких користувачами завантажувалось фальшиве оновлення “Flash”.
Кіберполіція надає перелік уражених інтернет-сайтів, з яких було зафіксовано поширення вірусу:
hxxp://argumentiru[.]com
hxxp://www.fontanka[.]ru
hxxp://grupovo[.]bg
hxxp://www.sinematurk[.]com
hxxp://www.aica.co[.]jp
hxxp://spbvoditel[.]ru
hxxp://argumenti[.]ru
hxxp://www.mediaport[.]ua
hxxp://blog.fontanka[.]ru
hxxp://an-crimea[.]ru
hxxp://www.t.ks[.]ua
hxxp://most-dnepr[.]info
hxxp://osvitaportal.com[.]ua
hxxp://www.otbrana[.]com
hxxp://calendar.fontanka[.]ru
hxxp://www.grupovo[.]bg
hxxp://www.pensionhotel[.]cz
hxxp://www.online812[.]ru
hxxp://www.imer[.]ro
hxxp://novayagazeta.spb[.]ru
hxxp://i24.com[.]ua
hxxp://bg.pensionhotel[.]com
hxxp://ankerch-crimea[.]ru
Факти ураження комп’ютерів жертв внаслідок відкриття файлів електронних документів, що надсилалися каналами електронної пошти від невстановлених відправників також мали місце та перевіряються.
Після відвідування ураженого сайту, користувачеві пропонується завантажити до себе на комп'ютер виконуваний файл-завантажувач (так званий «дропер»), що маскується під оновлення програмного забезпечення «Adobe Flash Player». Шкідлива програма для подальшого спрацювання повинна запускатися з правами адміністратора. Після запуску, вона завантажує («дропає») та розгортає основний модуль з назвою infpub.dat у каталозі C:\Windows , який у подальшому виконується за допомогою rundll32.exe
Окрім infpub.dat «дропер» у той самий каталог завантажує також інші елементи вірусу - файли «cscc.dat», «bootstat.dat» та «dispci.exe».
Файл «dispci.exe» у подальшому запускається за допомогою запланованого завдання операційної системи. Його функція полягає у встановлені елементу вірусу – шифрувальника завантажувальної області.
У подальшому шкідлива програма шифрує лише файли з обраними розширеннями, у тому числі .doc, .docx, .xls, .xlsx. Існує припущення що використовується ймовірно алгоритм AES в режимі CBC. Після шифрування, розширення файлів не змінюється. В кінці вмісту файлу додається унікальний текст: "% encrypted", який є маркером того, що файл було зашифровано. Після цього, як і «NotPetya», «BadRabbit» створює заплановане завдання для перезавантаження операційної системи.
Після завершення атаки, система перезавантажується і на екрані комп'ютера з'являється повідомлення із вимогою про викуп та посиланням на сайт в мережі ТОR. За розшифрування файлів зловмисники вимагають 0,05 ВТС, що еквівалентно близько 300 доларам США. Повідомлення візуально дуже схоже на те, яке з'являлось під час атаки «NotPetya».