2017 m. Spalio mėn. 24 d. vartotojai pradėjo gauti pranešimus, informuojančius, kad jų kompiuteriai užblokuoti. Šią vasarą jau matėme kelis tokius pranešimų variantus dėka Petya ir WannaCry, tačiau šį kartą į vartotojų kompiuterius prasigraužė Bad Rabbit.

Bad Rabbit priklauso dar nežinomai virusų šeimai ir tyrimai apie jo veikimą ir plitimą dar atliekami. Pastebima, kad daugiausia šis virusas yra išplitęs Rusijoje, Vokietijoje, Turkijoje, Ukrainoje ir kt. šalyse. Šiuo metu žinoma, kad Bad Rabbit plinta vartotojams besilankant tikruose, tačiau nesaugiuose įvairių naujienų tarnybų interneto puslapiuose. Nustatyta itin daug interneto puslapių, kuriuose įdiegtas kenkėjiškas HTTP arba PHP kodas leidžia platinti kenkėjišką programinę įrangą (ang. drive-by attacks). Šiuo atveju kenkėjiška programinė įranga pasirodė Adobe Flash installer pavidalu ir ją įsidiegę vartotojai iš tikrųjų savo kompiuteriuose apgyvendino Bad Rabbit. Vartotojai atsisiunčia failą pavadinimu install_flash_player.exe ir turi jį paleisti, kad virusas aktyvuotųsi. Paleistas virusas išsaugos kenkėjišką DLL (ang. dynamically linked library) failą C:\Windows\infpub.dat ir paleis jį naudodamas rundll32. Bad Rabbit veikia kaip tipinė failus užkoduojanti ir išpirkos reikalaujanti kenkėjiška programa: jisranda vartotojo duomenis ir juos užkoduoja viešu nusikaltėlių naudojamu RSA-2048 raktu. Pirminė kaina, kurios reikalaujama iš aukos – 280 USD vertės Bitcoin valiutos, tačiau tai nėra galutinė kaina, kadangi jei po 40 val. Išpirka nesumokama, kaina kyla.

Vartotojams patariama nedelsiant įdiegti paskutinius savo antivirusinių programų atnaujinimus bei užblokuoti failus C:\Windows\infpub.dat ir C:\Windows\cscc.dat

#Kibernetinissaugumas #Virusai