573511
25.10.2017 Национальный координационный центр по компьютерным инцидентам системы ГосСОПКА (НКЦКИ) разослал описание механизма распространения вредоносной программы-шифровальщика Bad Rabbit, а также индикаторы компрометации.
Компьютерные атаки с использованием указанного вредоносного программного обеспечения (ВПО) были зафиксированы 24 октября 2017 года. Они затронули ряд российских СМИ, различные цели на Украине, в Германии и Турции.
Уровень угрозы высокий, ВПО способно шифровать не только пользовательские файлы, но и сам диск.
В качестве вектора заражения используются скомпрометированные веб-сайты, на которых под видом поддельного обновления проигрывателя Adobe Flash Player размещается загрузчик ВПО. После заражения ВПО повышает привилегии на локальной машине и инициирует процесс вторичного распространения по протоколу SMB, используя подобранные/извлечённые из LSASS при помощи утилиты Mimikatz пароли, а также шифрует единым ключом пользовательские файлы с применением алгоритма AES-128-CBC. Распространение по локальной сети происходит с использованием адреса заражённого хоста с маской сети /24.
Рекомендации по противодействию угрозе:
- Создать файл C:\windows\infpub.dat и назначить ему права «только для чтения». Мера не позволит загрузчику ВПО разместить в системе ключевой модуль шифровальщика.
- Настройками групповой политики запретить хранение паролей в LSA Dump в открытом виде, а также использовать сложные пароли (ВПО использует перебор паролей по словарю).
- Блокировать всплывающие окна в браузере.
- Установить актуальные обновления антивирусных баз.
- Отключить удаленный доступ к инструментарию управления Windows (Windows Management Instrumentation, WMI).
| Скачать бюллетень НКЦКИ в формате PDF: |  |
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
