BadRabbit- наследник таких вирусов как WannaCry и Petya.
Все они- это вирусы вымогатели, заразили более 300 тысяч пользователей. Их механизм схож и прост- вы запускаете вирус или программу, к которому прикреплен вирус и тут на экране появляется баннер, что вас взломали и ваши данные шифруются, а после удаляются, чтобы это прекратить вы должны заплатить деньги.
Как распространился BadRabbit?
Под видом обычного обновления Adobe, имя та же иконка, описание и даже сертификат безопасности имел как у обычного Adobe.
Но неужели нет спасения от такого вируса?
Даже у вирусов есть свои уязвимости. У BlackRabbit есть пару таких вот уязвимостей, которые просто не дадут ему запуститься. О них по порядку:
1.Один файл, раскрывающий все уязвимости.
В самом вирусе есть очень интересный файл - .rdata. Примечателен он тем, что в самом конце у него содержится важная информация. Например, что если создать файл infpub.dat, и поставив режим только чтение, по пути C: \windows\.
Этот файл, если будет находиться там, не даст запуститься вирусу.
2. Удалить один неприметный компонент Windows.
Так же в том файле прописана странная программа rundll32.exe . Если поискать информацию про этот компонент нам выдаст, что этот компонент позволяет запускать файлы из динамических библиотек. Но что случиться с windows удалив мы этот компонент? Вы не поверите, но ничего страшного, она даже не крашнется, даже синего экрана не будет, а вот вирус уже не сможет запуститься. Это радикальный способ, но он как-никак подойдет тем, кто максимум, что делает за ПК, это сидит в соц.сетях.