Осторожно! Новый вирус-вымогатель — BadRabbit

Вчера стало известно о распространении нового вируса-шифровальщика BadRabbit («Плохой кролик»), атаковавшего компьютеры в России и Украине. BadRabbit имеет все шансы повторить путь печально знаменитых Petya и WannaCry, заразивших сотни тысяч компьютеров по всему миру.

Что такое BadRabbit?

Это вирус-шифровальщик, по одной из версий — одна из модификаций NotPetya (близкого родственника уже упомянутого Petya), по другой — совершенно новый и уникальный вид вымогателя. Заразив ПК, вирус блокирует его, шифрует на нем всю информацию. За их восстановление у пользователя вымогают выкуп в размере 0,05 биткоина (около 16 тысяч рублей). На оплату дается два дня, после чего сумма выкупа растет.

Как его можно подцепить?

Вредоносный код JavaScript внедряется на популярные сайты. Сейчас это преимущественно сайты СМИ — «Фонтанки», «Новой газеты в Санкт-Петербурге» и «Аргументов недели». На DGL.ru его нет, мы проверили.

Под атаку попали также некоторые транспортные компании: по информации антивирусной компании Eset, это Киевский метрополитен и аэропорт Одессы.

Пользователям, который попадает на зараженный сайт, демонстрируется всплывающее окно с предложением загрузить обновление для Flash Player. Тот нажимает на кнопку «Install/Установить», тем самым инициирует загрузку исполняемого файла, который в свою очередь запускает в системе шифратор Win32/Filecoder.D. И оп-па, вот и еще одна жертва «Плохого кролика».

Как его НЕ подцепить?

Вот что советуют эксперты по безопасности, в том числе компании Group-IB.

• Не загружать никакие «обновления» и прочие подозрительные файлы с интернет-ресурсов (даже тех, которым вы доверяете).
• Убедиться, что ваша операционная система обновлена, а в базу антивируса добавлена вирусная сигнатура Win32/Diskcoder.D («официальное» название BadRabbit).
• Изолировать зараженные компьютеры в сети, а также заблокировать ip-адреса и доменные имена, с которых происходило распространение вредоносных файлов.

Специалисты также рекомендуют создать файл C:windowsinfpub.dat или C:Windowscscc.dat и поставить ему права «только для чтения». После этого даже в случае заражения вирусом-шифровальщиком BadRabbit файлы не будут зашифрованы. Еще один рецепт: запретить в групповых политиках (Политика ограниченного использования программ) выполнение файлов infpub.dat и install_flash_player.exe.