(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

ESET представляет анализ шифратора Diskcoder.D (Bad Rabbit)

Источник: ESET

Вирусная лаборатория ESET исследовала схему распространения шифратора Win32/Diskcoder.D (Bad Rabbit). Злоумышленники, стоящие за кибератакой 24 октября, использовали скомпрометированные сайты, популярные в России и некоторых других странах, затронутых эпидемией.

По данным ESET, Win32/Diskcoder.D - модифицированная версия Win32/Diskcoder.C, более известного как Petya/NotPetya. В новой вредоносной программе исправлены ошибки в шифровании файлов. Теперь шифрование осуществляется с помощью DiskCryptor - легитимного ПО с открытым исходным кодом, предназначенного для шифрования логических дисков, внешних USB-накопителей и образов CD/DVD, а также загрузочных системных разделов диска.

Ключи генерируются с использованием CryptGenRandom и защищены жестко закодированным открытым ключом RSA 2048. Файлы зашифрованы с расширением .encrypted. Как и прежде, используется алгоритм AES-128-CBC.

Для распространения Diskcoder.D злоумышленники скомпрометировали популярные сайты, внедрив в них вредоносный JavaScript. Среди скомпрометированных площадок - сайты "Фонтанки", "Новой газеты в Санкт-Петербурге" и "Аргументов недели".

Атаке шифратора Diskcoder.D подверглись российские СМИ, а также транспортные компании и государственные учреждения Украины. Статистика атак в значительной степени соответствует географическому распределению сайтов, содержащих вредоносный JavaScript. 

Когда пользователь заходит на зараженный сайт, вредоносный код передает информацию о нем на удаленный С&С-сервер. Далее логика на стороне сервера может определить, представляет ли посетитель сайта интерес, и при необходимости добавляет на страницу новый контент. В ESET наблюдали, как на скомпрометированном сайте появляется всплывающее окно с предложением загрузить обновление для Flash Player. В настоящее время связь вредоносной программы с удаленным сервером отсутствует.

Нажав на кнопку "Install/Установить", пользователь инициирует загрузку исполняемого файла, который в свою очередь запускает в системе шифратор Win32/Filecoder.D. Далее файлы жертвы будут зашифрованы, и на экране появится требование выкупа в размере 0,05 биткоина (около 17 000 рублей). 

Заразив рабочую станцию в организации, шифратор может распространяться внутри корпоративной сети через протокол SMB. В отличие от своего предшественника Petya/NotPetya, Bad Rabbit не использует эксплойт EthernalBlue - вместо этого он сканирует сеть на предмет открытых сетевых ресурсов. На зараженной машине запускается инструмент Mimikatz для сбора учетных данных. Предусмотрен жестко закодированный список логинов и паролей. 

Антивирусные продукты ESET детектируют шифратор как Win 32/ Diskcoder . D . Угроза добавлена в базы данных вирусных сигнатур с обновлением 16295 24 октября в 15-10 по московскому времени, ранее блокировалась современными эвристическими и облачными технологиями защиты. Добавление вирусной сигнатуры позволит защитить даже тех пользователей, которые используют устаревшие версии продуктов ESET .

Интернет-магазин
ESET NOD32 Smart Security
 
 

Антивирус • Антифишинг • Антиспам • Файервол • Антивор • Антишпион • Родительский контроль • USB-контроль

ESET NOD32 Smart Security — это комплексное решение для обеспечения безопасности, в котором сочетается максимальная степень защиты и минимальное влияние на производительность компьютера. Современные технологии используют искусственный интеллект для предотвращения заражения вирусами, шпионскими, троянскими, рекламными программами, червями, руткитами и другими угрозами без влияния на производительность системы и перерывов в работе компьютера.


 Распечатать »
 Правила публикации »
  Написать редактору 
 Рекомендовать » Дата публикации: 26.10.2017 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
Антивирус ESET NOD32 Antivirus Business Edition newsale for 5 user, лицензия на 1 год
ESET NOD32 Cyber Security Pro, лицензия на 1 год
Антивирус ESET NOD32 SMALL Business Pack renewal for 10 user. Электронный ключ
ESET NOD32 Антивирус - продление лицензии на 2 года на 3ПК
Антивирус ESET NOD32 SMALL Business Pack newsale for 5 user. Электронный ключ
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
3D ручка Myriwell, голубая
MakerBot Replicator 2
PrintBox3D One
MakerBot Replicator 2-head
MakerBot Replicator 5th GEN
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Новости ITShop.ru - ПО, книги, документация, курсы обучения
Программирование на Microsoft Access
Краткие описания программ и ссылки на них
OS Linux для начинающих. Новости + статьи + обзоры + ссылки
Безопасность компьютерных сетей и защита информации
ЕRP-Форум. Творческие дискуссии о системах автоматизации
 
Рассылки Maillist.ru
Новости ITShop.ru - ПО, книги, документация, курсы обучения
Территория Linux - вход свободный
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
Обсуждения в форумах
Access, Ключевое поле, Счетчик (9)
Подскажите пожалуйста, как изменить в Access в ключевом поле (счетчик последовательно),...
 
Помощь по MS Access (323)
Доброе время суток. Случайно оказался на этом сайте, искал статьи по OLAP. Вижу, что...
 
Демоверсия ERwin Data Modeler r9.7 (1)
Загрузил демо-версию, не запускается, требует лицензию
 
Как извлечь рисунки из файла Word (39)
Вообще-то есть еще способ - сделать в Word-е Copy рисунка, открыть Microsoft Photo Editor и там:...
 
Уроки по JavaScript для новичков (1)
Всем привет! Вот хочу поделиться классным сайтом для начинающих изучать программирование на ...
 
 
 



    
rambler's top100 Rambler's Top100