24 октября произошло сразу несколько кибератак на российские и украинские компании. Среди них: издания «Интерфакс» и «Фонтанка», аэропорт Одессы, киевское метро и Мининфраструктуры Украины. Пока нет подтверждения, что они пострадали от одного и того же вируса, но атаки прошли почти в одно время с разницей в несколько часов, сообщает hi-tech.mail.ru.
Пока не известно, откуда появился вирус, но есть два возможных источника распространения. Первый — Bad Rabbit распространяется через поддельное окно обновления для Adobe Flash Player — при скачивании файла с новой версии плеера на компьютер попадает шифровальщик. Об этом сообщил эксперт по безопасности Иржи Кропак из ESET:
О втором источнике распространения вируса сообщила Служба безопасности Украины. При атаках на их ведомства использовали фишинговую рассылку по электронной почте. Злоумышленники представлялись службой технической поддержки Microsoft и, судя по всему, давали ссылку или прикрепляли к письму файл с вирусом. Так что можно предположить, что хакеры использовали сразу несколько методов распространения вируса.
При заражении компьютер полностью блокируется и на экране появляется текст, который сообщает, что все файлы зашифрованы, и дает инструкцию для возвращения доступа к ним. Нужно перейти по ссылке на сайт, где необходимо заплатить 0,05 биткойна (около 277 долларов на момент публикации статьи), при этом обещается, что в случае оплаты компьютер будет обязательно разблокирован.
Как защититься
Жертвы сами скачивали вирус Bad Rabbit, поэтому в целях безопасности нужно быть внимательнее при открытии входящих электронных писем — еще и еще раз перепроверить адрес отправителя и содержание. Часто злоумышленники в фишинговых письмах представляются сотрудниками компаний или имитируют автоматическую рассылку от интернет-сервиса.
Другой популярный способ распространения вируса — рекламные баннеры и сообщения о необходимости скачать обновление какой-либо программы. В случае с Bad Rabbit использовали обновление Adobe Flash Player.
СБУ рекомендует в настройках безопасности системы Windows заблокировать доступ к домену «x90.im». Внимание, запускать этот сайт на компьютере может быть опасно! По мнению ведомства, через этот сайт хакеры распространяют вирус.
Также следует установить все обновления системы и антивирусных программ.
