خرگوش بد: یک باج افزار جدید که به سرعت در حال افزایش است

bonyan 1396/08/04

ما در حال حاضر دو حمله گسترده باج افزار را در این سال شاهد بوده ایم – ما در مورد WannaCry و ExPetar (که همچنین به عنوان Petya و NotPetya شناخته می شود) صحبت می کنیم. به نظر میرسد که یک حمله سوم در حال افزایش است: بدافزار جدیدی که به نام خرگوش بد نامیده می شود.

bad rabbit ransomware featured 1

باج افزار خرگوش بد تا کنون توانسته است چندین رسانه بزرگ روسیه را آلوده کند، از جمله خبرگزاری اینترفاکس و Fontanka.ru .فرودگاه بین المللی اودسا نیز بر روی سیستم اطلاعاتی خود وجود این حمله سایبری را گزارش داده است. مجرمان سایبری که در  پشت این حمله قرار دارند درخواست 0.05 بیتکوین کرده اند که تقریبا معادل 280 دلار است.

badrabbit 1

تعدادی از گروه‌های امنیت سایبری از جمله آزمایشگاه‌های کسپراسکای و محققان ESET و Proofpoint اعلام کرده‌اند که این حمله از طریق یک آپدیت جعلی نرم افزار Adobe Flash انجام شده است. این که آیا امکان بازگرداندن فایل های رمزنگاری با پرداخت جریمه  امکان پذیر است یا نه هنوز مشخص نشده است. کارشناسان آنتی ویروس آزمایشگاه کسپرسکی در حال تحقیق در مورد این حمله هستند .

براساس اطلاعات ما، بیشتر قربانیان این حملات در روسیه قرار دارند. ما همچنین حملات مشابه دیگری در اوکراین، ترکیه و آلمان نیز دیده ایم. این ransomware دستگاه ها را از طریق تعدادی از وب سایت های رسانه های هک شده روسیه آلوده کرده است. بر اساس تحقیقات ما، این یک حمله هدفمند علیه شبکه های شرکت های بزرگ است.کارشناسان ما مدارک کافی برای ارتباط میان حمله خرگوش بد با حمله ExPetr، که در ماه ژوئن امسال اتفاق افتاده است، جمع آوری کرده اند. بر اساس تجزیه و تحلیل آنها، برخی از کد های مورد استفاده در Bad Rabbit قبلا در ExPetr دیده شده است.همچنین از تکنیک های مشابهی برای گسترش نرم افزارهای مخرب در شبکه های شرکت های بزرگ استفاده شده است- هر دو حملات از ابزار مدیریت ویندوز خط فرمان (WMIC) برای این منظور استفاده کرده اند.

محصولات آزمایشگاه کسپرسکی این حمله را با احکام زیر شناسایی می کند:

UDS:DangerousObject.Multi.Generic (detected by Kaspersky Security Network), PDM:Trojan.Win32.Generic (detected by System Watcher) and Trojan-Ransom.Win32.Gen.ftl.

برای جلوگیری از تبدیل شدن به قربانی بد خرگوش:

اگر از کاربران محصولات آزمایشگاهی کسپرسکی هستید :

اطمینان حاصل کنید که سیستم Watcher و شبکه امنیت کسپرسکی در حال اجرا هستند. اگر نه، ضروری است که این ویژگی ها را روشن کنید.

سایر کاربران:

  • بلوک اجرای فایل های c: \ windows \ infpub.dat و c: \ Windows \ cscc.dat.
  • غیرفعال کردن سرویس WMI  برای جلوگیری از گسترش تروجان روی شبکه شما

یک راهنمایی برای همه :

از داده های خود پشتیبان بگیرید
هیچ باجی پرداخت نکنید

منبع : https://www.kaspersky.com/blog/bad-rabbit-ransomware/19887/

بدون دیدگاه