25 октября 2017
Реакция разработчиков UserGate на атаки вируса BadRabbit
24 октября была обнаружена масштабная атака на организации, находящиеся в восточной Европе и России, со стороны вируса-шифровальщика, названного "Badrabbit".
Атака "Badrabbit" стала одной из самых крупных за последние несколько месяцев, данный троян-шифровальщик похож на известные вредоносные программы "Nyetya", "Petya", "NotPetya". У "Badrabbit" нет таких особенностей в распространении, как, например, у "NotPetya", однако по известным сведениям он распространяется после взлома популярных сайтов.
Аналитики UserGate выявили скомпроментированные сайты, с которых происходил редирект на вредоносный сайт (1dnscontrol.com). Среди них такие ресурсы, как:
- Argumentiru.com
- Fontanka.ru
- Adblibri.ro
- Spbvoditel.ru
- Grupovo.bg
- sinematurk.com.
В HTML-коде был встроен JavaScript inject:
Если пользователь нажимал Install, то скачивался поддельный установочный пакет flash player - "install_flash_player.exe". Данный пакет шифровал главную загрузочную запись (MBR). Далее троян-щифровальщик требовал выкуп за зашифрованные данные в размере 0.05 BTC (283 доллара).
В этой связи наши аналитики рекомендует произвести следующие действия:
- Включить модуль системы обнаружения вторжений UserGate UTM
- Запретить рядовым пользователям использовать права администратора
- Включить UAC (User Access Control)
- Сменить все пароли на сложные длинной более 8 символов
- Запретить хранение паролей в LSA dump в открытом виде
- Произвести внеочередной backup важных данных.
