Во вторник, 24 октября, несколько украинских организаций подверглись хакерской атаке. О сбое в работе своих систем сообщили киевский метрополитен, аэропорт Одессы и Мининфраструктуры.
Также перестали работать сайты информагентства «Интерфакс» и российской газеты «Фонтанка.
Пока точно не известно, связаны ли все эти атаки, но все они произошли примерно в одно и то же время — о них стало известно с разницей в несколько часов. Как минимум, российские СМИ атаковал один и тот же вирус-шифровальщик, рассказывают в компании Group-IB и уточняют, что государственные учреждения в Украине тоже могли стать его жертвой, передает TJ.
Создатели самого вируса называют его Bad Rabbit.
Заражение Bad Rabbit напоминает ситуацию с Petya.A в мае 2017 года: от него пострадали в основном компании в России и в Украине, распространение вируса происходило очень стремительно, хакеры требовали выкуп. Но в Group-IB говорят, что сам Bad Rabbit не похож на Petya.A или WannaCry — сейчас специалисты изучают заражённые компьютеры;
Вирус заражает компьютер, шифруя на нём файлы. Получить доступ к ним нельзя. На экране компьютера отображается подробное сообщение с инструкциями: в Telegram-канале Group-IB опубликовали фото примеров таких заражённых компьютеров;
В инструкции говорится, что для расшифровки файлов нужно лишь ввести пароль. Но чтобы его получить, нужно проделать немалый путь. Во-первых, зайти на специальный сайт по адресу caforssztxqzf2nm.onion в даркнете — для этого потребуется браузер Tor. Судя по опубликованным Group-IB фотографиям, сайт везде указан одинаковый;
На сайте и указано название вируса — Bad Rabbit. Чтобы получить пароль на расшифровку данных, хакеры требуют ввести «персональный код установки» — длинный шифр из сообщения, выводимого на экране компьютера. После этого появится адрес биткоин-кошелька, на который требуется перевести деньги;
Судя по сайту Bad Rabbit, вымогатели требуют выкуп в 0,05 биткоина за каждый компьютер. По курсу на 24 октября это примерно 283 доллара (Petya.A тоже требовал порядка 300 долларов);
Опять же, судя по сайту вируса, вымогатели дают всего двое суток (48 часов) на выплату первоначального выкупа. После истечения этого срока цена за расшифровку файлов вырастет, насколько — неизвестно;
Проверить адрес биткоин-кошелька, на который хакеры получают средства, при помощи доступных кодов с фотографий Group-IB не вышло. Возможно они уже были использованы, возможно, мы допустили ошибку — всё-таки код длиной 356 символов;
Аналитики из ESET утверждают, что вирус Bad Rabbit распространяется под видом фейкового обновления плагина Adobe Flash. Судя по скриншоту, заражены сайты изданий «Суть событий» (argumentiru.com) и «Аргументы недели Крым» (an-crimea.ru);
Сайт argumentiru.com сейчас перенаправляет на an-crimea.ru, а на сайт «Аргументы недели Крым» при попытке захода через Google Chrome браузер выводит предупреждение о попытке мошенничества.
В тоже время Госспецсвязи Украины говорит, что объекты инфраструктуры атаковал вирус Locky. Здесь из рекомендации для технических специалистов.
Напомним, ранее команда реагирования на компьютерные чрезвычайные события Украины CERT-UA Государственной службы специальной связи и защиты информации Украины сообщает о возможности кибератак на информационные ресурсы Украины в период с 13 по 17 октября 2017 года.