Зафиксированы атаки вируса-шифровальщика на российские банки

Вирус-шифровальщик BadRabbit, заразивший компьютеры ряда российских и украинских компаний, пытался атаковать российские банки из топ-20, рассказал гендиректор компании Group-IB Илья Сачков.

По его словам, специалисты компании во вторник с 13.00 до 15.00 мск зафиксировали попытки заражения вирусом инфраструктур ряда российских финансовых организаций, в том числе банков из топ-20, однако атаки не увенчались успехом, передает ТАСС.

Глава Group-IB отметил, что у банков лучше практика противостояния подобным угрозам, так как основные сложные атаки происходят именно против банков.

Кроме того, специалисты компании установили, что вирус-шифровальщик BadRabbit является модифицированной версией вируса NotPetya, который в июне поразил IT-системы в нескольких странах мира, передает РИА «Новости».

Более того, по их данным, код BadRabbit включает в себя части, полностью повторяющие NotPetya. При этом, по словам экспертов, в алгоритмах BadRabbit, по сравнению с вирусом NotPetya, исправлены ошибки в шифровании.

В компании также рассказали, что в атаке используется программа Mimikatz, которая перехватывает на зараженной машине логины и пароли.

Накануне в компании Kaspersky сообщили, что вирус-шифровальщик BadRabbit, который распространялся в том числе через пораженные сайты российских СМИ, атаковал компании на Украине, в Турции и Германии, при этом больше всего компаний было атаковано в России.

Позднее эксперты смогли определить источник распространения вируса и дали рекомендации по защите незараженных компьютеров.

Определен источник распространения вируса-шифровальщика BadRabbit

Компания в сфере расследования киберпреступлений Group-IB определила сайт, с которого началось распространение вируса-шифровальщика BadRabbit, заразившего компьютеры ряда российских и украинских компаний, сообщил гендиректор компании Илья Сачков.

По словам Сачкова, сотрудники компании смогли определить доменное имя, с которого началось распространение вируса, а также выяснили, что с этим доменным именем и IP-адресом связаны еще пять ресурсов, передает ТАСС.

В Group-IB полагают, что злоумышленники, использовавшие для атаки BadRabbit, могли быть связаны с продажей трафика (тип серого бизнеса в интернете), или привлекли группу из этой сферы. По его словам, имеющиеся данные дают реальный шанс установить сопричастных к атаке лиц.

Глава Group-IB выразил мнение, что атака с помощью BadRabbit может носить массовый характер, о целевой атаке речи, скорее всего, не идет.

Чтобы вирус не смог зашифровать файлы представители компании предлагают пользователям создать файл C:\windows\infpub.dat и назначить ему права «только для чтения», после чего, по мнению экспертов, «даже в случае заражения файлы не будут зашифрованы».

Кроме того, для того, чтобы избежать масштабного заражения компьютеров в сети вирусом BadRabbit, необходимо оперативно изолировать компьютеры, которые были замечены в пересылке подобных вредоносных файлов, отметили в компании.

Помимо этого эксперты рекомендовали пользователям убедиться в актуальности и целостности резервных копий ключевых сетевых узлов, обновить операционные системы и системы безопасности, и при этом заблокировать адреса, с которых происходило распространение вредоносных файлов.

Накануне в компании Kaspersky сообщили, что вирус-шифровальщик BadRabbit, который распространялся в том числе через пораженные сайты российских СМИ, атаковал компании на Украине, в Турции и Германии, при этом больше всего компаний было атаковано в России.

Позднее СБУ заявила об остановке распространения вируса-шифровальщика.

Вирус-шифровальщик массово атаковал компании в России и на Украине

Во вторник произошла атака вируса-шифровальщика на компании на Украине, в Турции и Германии, при этом больше всего компаний было атаковано в России, заявили в компании Kaspersky.

Руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский сообщил, что атаки на компании в Турции, Германии и на Украине наблюдаются в значительно меньшем количестве, чем в России. Вирус распространяется через ряд зараженных сайтов российских СМИ, передает РИА «Новости».

Он добавил, что признаки указывают на целенаправленность атаки на корпоративные сети. При этом методы атаки похожи на те, что что наблюдались при действии вируса-шифровальщика ExPetr в июне. Связь с этим вирусом, тем не менее, пока не выявлена.

Эксперты компании рекомендуют тем, у кого нет защитного решения «Лаборатории Касперского», запретить исполнение файлов с названиями c:\windows\infpub.dat и C:\Windows\cscc.dat с помощью инструментов системного администрирования.