От вируса-шифровальщика пострадали компании в России, Германии, Болгарии и на Украине
Анастасия Драй
Вирус-шифровальщик BadRabbit, накануне атаковавший российские СМИ и украинские аэропорт и метрополитен, раздавался с домена, связанного с ресурсами-спамерами. Для активации вируса пользователю необходимо было установить его под видом FlashPlayer. Об этом сообщила лаборатория компьютерной криминалистики Group-IB. В компании заявили, что основная волна заражений уже прошла.
Накануне, 24 октября, вирусной атаке подверглись российские сайты редакций «Интерфакса», «Аргументов недели» и «Фонтанки». Кроме того, пострадали Киевский метрополитен, международный аэропорт Одессы и Министерство инфраструктуры Украины. У злоумышленников были безуспешные попытки атаковать и российские банки из топ-20. Также сообщения о заражении поступали из Германии, Болгарии и Турции. Group-IB сообщила, что шивровальщик BadRabbit начал проявлять активность в 13:27.
«Заражение происходило после захода на взломанные легитимные сайты. Специалистами Group-IB установлено, что вредоносная программа распространялась с помощью веб-трафика с взломанных интернет-ресурсов», — сообщается на сайте Group-IB.
«После захода на зараженный ресурс пользователю предлагалось обновить flash-плеер. В случае нажатия кнопки данные на его компьютере зашифровывались. Вирус также крал пароли с его устройства и с их помощью зашифровывал другие компьютеры, находящиеся с ним в одной сети», — цитирует РБК заместителя руководителя лаборатории компьютерной криминалистики Group-IB Сергея Никитина.
При активации вируса на экране открывался красный текст на черном фоне. В тексте указаны индивидуальный код и адрес сайта в сети Tor, на котором запускается автоматический счетчик. После ввода кода на сайте открывался биткойн-кошелек. Распространители вируса требовали 0,05 биткойна (283 доллара) за освобождение от заражения. А счетчик времени на странице показывал, сколько осталось до повышения стоимости.
По информации Group-IB, злоумышленники готовились к атаке несколько дней. Кроме того, домен был зарегистрирован еще в 2016 году. «С ним связано множество других вредоносных доменов, первая активность которых относится еще к 2011 году. Возможно, эти домены тоже являются скомпрометированными и могут использоваться для проведения аналогичных атак, рассылки спама, фишинга», — рассказали специалисты.
Вирусная лаборатория ESET обнаружила, что в атаке 24 октября использовалось вредоносное ПО Diskcoder.D — новая модификация шифратора, известного как Petya. Оно использует «инструмент Mimikatz для извлечения учетных данных в зараженных системах. Кроме того, в нем предусмотрен жестко закодированный список учетных данных», — сообщается на сайте ESET.
Как сообщила лаборатория, из сотни атак «на Россию пришлось 65%, Украину — 12,2%, Болгарию — 10,2%, Турцию — 6,4%, Японию — 3,8%, на другие страны — 2,4%».
Летом, 27 июня, атаке вируса Petya подверглись крупнейшие компании в России и на Украине. В числе пострадавших «Роснефть», «Башнефть», сеть гипермаркетов «Ашан», банк «Хоум Кредит», «Укрэнерго», «Киевэнерго», Ощадбанк, Укрсоцбанк, Укргазбанк, ОТП Банк, ПриватБанк и другие. В соцсетях сообщали о поражении вирусом банкоматов некоторых украинских банков. На Украине Petya заразил все компьютеры кабинета министров. Вирусная атака не обошла стороной АЭС в Чернобыле. В результате на атомной электростанции из строя вышли некоторые компьютеры и полностью остановилась система документооборота.