В коде вируса BadRabbit обнаружили отсылку к "Игре престолов"

Киберполиция рассказала подробности действия вируса-шифровальщика "BadRabbit", который использовали хакеры для масштабной кибератаки 24 октября.

Результаты предварительного анализа данных, полученных в результате работы специалистов подразделения, обнародованы на сайте Киберполиции.

"В коде "BadRabbit" были обнаружены отсылки к фэнтезийному телесериалу "Игра престолов". Например, у запланированных задач - имена трех драконов из сериала: Drogon, Rhaegal, Viserion. Ранее похожие отсылки к популярной фэнтезийной саге были замечены мировыми экспертами в составе одного из скриптов, который использовался для распространения известного шифровальщика "Locky", - отмечается в сообщении.

Киберполицейские также констатируют, что в коде "BadRabbit" есть дублированные и аналогичные элементы кода "Petya"/"NotPetya".

"В отличие от "NotPetya" шифровальщик "BadRabbit" не является "вайпером", то есть у него нет цели уничтожить информацию на жестких дисках зараженных компьютеров.

Специалисты отмечают, что истинной целью этой "атаки" было желание злоумышленников обогатиться, и она была осуществлена исключительно из корыстных побуждений", - заявляют в Киберполиции.

Как информируют в пресс-службе, среди пострадавших стран Украину поразило меньше всего.

"Киберполиция отмечает, что аудитория украинских пользователей не является массовой и составляет около 12% общего количества загрузок инфицированных обновлений", - говорится в сообщении.

Специалисты из Киберполиции установили, что ключевое отличие между "Petya"/"NotPetya" и "BadRabbit" в разных начальных векторах атаки.

"BadRabbit" для распространения в качестве основного вектора использует пораженные сайты, с которых пользователями загружалось фальшивое обновление Flash.

Киберполиция предоставляет перечень пораженных интернет-сайтов, с которых было зафиксировано распространение вируса:

hxxp://argumentiru[.]com hxxp://www.fontanka[.]ru hxxp://grupovo[.]bg hxxp://www.sinematurk[.]com hxxp://www.aica.co[.]jp hxxp://spbvoditel[.]ru hxxp://argumenti[.]ru hxxp://www.mediaport[.]ua hxxp://blog.fontanka[.]ru hxxp://an-crimea[.]ru hxxp://www.t.ks[.]ua hxxp://most-dnepr[.]info hxxp://osvitaportal.com[.]ua hxxp://www.otbrana[.]com hxxp://calendar.fontanka[.]ru hxxp://www.grupovo[.]bg hxxp://www.pensionhotel[.]cz hxxp://www.online812[.]ru hxxp://www.imer[.]ro hxxp://novayagazeta.spb[.]ru hxxp://i24.com[.]ua hxxp://bg.pensionhotel[.]com hxxp://ankerch-crimea[.]ru

Факты поражения компьютеров жертв в результате открытия файлов электронных документов, отправленных по каналам электронной почты от неустановленных отправителей, также имели место и проверяются.

• ЧИТАЙТЕ ТАКЖЕ: "Плохой кролик" оказался модификацией Petya

После посещения пораженного сайта пользователю предлагается загрузить себе на компьютер исполняемый файл-загрузчик (так называемый "дроппер"), замаскированный под обновление программного обеспечения "Adobe Flash Player".

Вредоносная программа для дальнейшего срабатывания должна запускаться с правами администратора. После запуска она загружает ("дроппит") и разворачивает основной модуль с названием infpub.dat в каталоге C:\Windows , который в дальнейшем исполняется с помощью rundll32.exe Кроме infpub.dat "дроппер" в тот же каталог загружает также другие элементы вируса - файлы "cscc.dat", "bootstat.dat" и "dispci.exe".

Файл "dispci.exe" в дальнейшем запускается с помощью запланированного задания операционной системы. Его функция заключается в установлении элемента вируса - шифровальщика загрузочной области.

В дальнейшем вредоносная программа шифрует только файлы с заданными расширениями, в том числе .doc, .docx, .xls, .xlsx. Существует предположение, что, вероятно, используется алгоритм AES в режиме CBC.

После шифрования расширение файлов не меняется. В конце содержимого файла добавляется уникальный текст: "% encrypted", служащий маркером того, что файл был зашифрован. После этого, как и "NotPetya", "BadRabbit" создает запланированное задание для перезагрузки операционной системы.

После завершения атаки, система перезагружается, и на экране компьютера появляется сообщение с требованием о выкупе и ссылкой на сайт в сети ТОR. За расшифровку файлов злоумышленники требуют 0,05 ВТС, что эквивалентно примерно 300 долларам США.

Сообщение визуально очень похоже на то, которое появлялось во время атаки "NotPetya".

Напомним, 24 октября киевский метрополитен и Одесский аэропорт подверглись хакерской атаке.