Новости

Рекомендации НКЦКИ по противодействию вирусу-шифровальщику Bad Rabbit

26.10.2017
Рекомендации НКЦКИ по противодействию вирусу-шифровальщику Bad Rabbit

25.10.2017 Национальный координационный центр по компьютерным инцидентам системы ГосСОПКА (НКЦКИ) разослал описание механизма распространения вредоносной программы-шифровальщика Bad Rabbit, а также индикаторы компрометации.

Компьютерные атаки с использованием указанного вредоносного программного обеспечения (ВПО) были зафиксированы 24 октября 2017 года. Они затронули ряд российских СМИ, различные цели на Украине, в Германии и Турции.

Уровень угрозы высокий, ВПО способно шифровать не только пользовательские файлы, но и сам диск.

В качестве вектора заражения используются скомпрометированные веб-сайты, на которых под видом поддельного обновления проигрывателя Adobe Flash Player размещается загрузчик ВПО. После заражения ВПО повышает привилегии на локальной машине и инициирует процесс вторичного распространения по протоколу SMB, используя подобранные/извлечённые из LSASS при помощи утилиты Mimikatz пароли, а также шифрует единым ключом пользовательские файлы с применением алгоритма AES-128-CBC. Распространение по локальной сети происходит с использованием адреса заражённого хоста с маской сети /24.

Рекомендации по противодействию угрозе:

  1. Создать файл C:\windows\infpub.dat и назначить ему права «только для чтения». Мера не позволит загрузчику ВПО разместить в системе ключевой модуль шифровальщика.
  2. Настройками групповой политики запретить хранение паролей в LSA Dump в открытом виде, а также использовать сложные пароли (ВПО использует перебор паролей по словарю).
  3. Блокировать всплывающие окна в браузере.
  4. Установить актуальные обновления антивирусных баз.
  5. Отключить удаленный доступ к инструментарию управления Windows (Windows Management Instrumentation, WMI).

Также пользователям рекомендуется регулярно делать резервные копии, хранить их на отдельных носителях.

Скачать бюллетень НКЦКИ в формате PDF: