+38/050/370-3627
+38/067/502-3306
+38/044/257-2444
Новини

Active Protection – у новій версії Acronis Backup 12.5 з'явилася унікальна технологія для захисту від програм-вимагачів

Дослідження компанії Acronis показали, що в основі Bad Rabbit лежить перероблений код NonPetya та exPetr, про що також говорять модель його поведінки та кінцева мета атак. У той же час було помічено, що до нього входять елементи інших програм-вимагачів, наприклад, підходи, що використовуються при розробці шифрувальника HDDCryptor. Однак при цьому люди, які стоять за Bad Rabbit, виправили деякі помилки і звели всі вищеперелічені елементи воєдино, отримавши дуже цікавий результат. Крім того, для свого коду вони використали підроблений сертифікат безпеки Symantec. Ще одна характерна риса Bad Rabbit – це здатність збирати паролі користувачів на заражених комп'ютерах та завантажувати додаткові шкідливі модулі.

Розглядається шифрувальник не використовує принципово нових хитрощів при атаці та зараженні, а скоріше навпаки – спирається на дуже старий прийом, який передбачає встановлення користувачами підробленого оновлення Adobe Flash. Що дивно, такий підхід досі спрацьовує, наочно показуючи, низьку поінформованість компаній і споживачів у питаннях кібербезпеки та небезпеки, що таїться за програмами-вимагачами. До тих пір, поки користувачі не почнуть сприймати цю загрозу всерйоз і вживати необхідних заходів безпеки, ризики втратити доступ до своїх даних залишаються дуже високими.

Основні факти про Bad Rabbit

  • Використовує елементи коду NonPetya/ExPetr
  • Поширюється як оновлення для Adobe Flash, що потребує встановлення вручну
  • Для шифрування використовує легітимний драйвер
  • Робить спроби поширитися локальною мережею досить примітивним способом
  • Замінює головний завантажувальний запис жорсткого диска та робить комп'ютер непридатним для використання
  • Дає збої під час шифрування на Windows 10
  • В основному торкнувся корпоративних користувачів Windows

Схема зараження та технічні характеристики

Для запуску атаки кіберзлочинці зламали кілька сайтів популярних ЗМІ та виклали на них скрипт із посиланням на фальшиву програму встановлення Adobe Flash, який просив користувачів запустити оновлення, коли вони заходили на сайт. Багато користувачів потрапили на цей прийом, навіть незважаючи на те, що фахівці з безпеки вже довгі роки застерігають людей від встановлення оновлень програм із сумнівних джерел і рекомендують перевіряти всі оновлення антивірусом, щоб переконатися у відсутності злому або зараження шкідливим кодом. Аналогічні фальшиві оновлення програмного забезпечення Adobe були дуже популярні багато років тому і, на жаль, залишаються ефективними й у наші дні.

Дроппер розповсюджується з адреси hxxp://1dnscontrol[.]com/flash_install.php. Після цього користувач завантажує файл install_flash_player.exe, який потребує адміністративних привілеїв у системі. Що смішно – він намагається отримати їх за допомогою стандартного запиту системи контролю облікових записів користувачів (UAC). У разі запуску дроппер отримує криптографічний модуль файлового рівня infpub.dat (насправді – dll-бібліотеку), криптографічний модуль дискового рівня dispci.exe та драйвер режиму ядра cscc.dat (насправді – легальний драйвер dcrypt.sys). >

Після того, як користувач "самостійно" заражає свій комп'ютер, Bad Rabbit намагається поширитися по локальній мережі за допомогою інструменту mimikatz, який дає йому можливість витягувати облікові дані із системи автентифікації локальної системи безпеки у відкритому вигляді, а також вбудований список облікових даних, що містить приклади найменш вдалих паролів. Атаки поганих хлопців залишаються дуже ефективними, адже «12345» та «password» вже багато років залишаються в топі найпопулярніших паролів.

Як вже зазначили раніше, Bad Rabbit використовує два типи шифрування – файловий та дисковий рівень. Він не імітує chkdsk.exe, як це робив NonPetya, щоб замаскувати шифрування, і не використовує жодних уразливостей у файловому сервері Microsoft srv.sys. Спочатку Bad Rabbit запускає шифрування файлового рівня (infpub.dat через rundll32), якщо знаходить достатньо файлів для цього. Потім у Планувальник він створює завдання для запуску dispci.exe з метою шифрування дисків, після чого перезапускає систему. Після першого перезапуску dispci.exe прописує розширену програму завантаження наприкінці диска, яка пізніше перебирає всі функції управління з допомогою зараженого MBR диска. Нарешті весь диск виявляється зашифрованим, головний завантажувальний запис – заміненим, а комп'ютер знову перезапускається, і на його екрані відображається повідомлення з вимогою викупу в розмірі 0,05 біткоїна (приблизно 275 доларів США).

Що цікаво – на комп'ютерах з Windows 10 модуль, який використовувався для шифрування, нерідко викликає появу «синього екрану смерті» через проблеми із сумісністю. Ще один момент – при шифруванні файлів їх розширення не змінюється, що може порушити роботу евристичних механізмів, які використовуються деякими антивірусами, що реагують зміну розширення. Bad Rabbit може працювати і в режимі офлайн, і потенційно це означає, що він може заражати інші комп'ютери через флеш-накопичувачі.

Основною метою Bad Rabbit є компанії та комерційні підприємства, і зараз ми вже спостерігаємо зниження рівня зараження. Шкідливий сервер вже не діє, а більшість заражених сайтів, на яких був розміщений скрипт для шкідливого оновлення Flash, зараз вимкнено або виліковано. Втім, це не означає, що можна розслабитись. Нова атака може статися будь-якої миті.

Фахівці Acronis вже давно стежать за проблемою програм-вимагачів і помітили, що користувачі найчастіше як основний інструмент захисту своїх даних покладаються на резервне копіювання. Як нескладно здогадатися, на це звернули увагу не лише експерти Acronis, а й кіберзлочинці, тому практично всі нові програми-змагачі намагаються видалити або зашифрувати, зокрема й файли резервних копій. Наприклад, Bad Rabbit, як видно на скріншоті вище, атакує файли Acronis Backup (*.tib).

На жаль для розробників Bad Rabbit, починаючи з версії Acronis True Image 2017 New Generation, всі рішення Acronis забезпечують надійний багаторівневий захист даних за допомогою технології Active Protection, і остання атака чудово ілюструє ефективність цієї проактивної технології. Щоб відобразити атаку програми-здирника і захистити дані користувача, Active Protection не потрібно постійно оновлюватися, підключатися до інтернету або використовувати складні встановлені правила. Все це дозволяє Acronis забезпечувати найбезпечніше резервне копіювання у світі, надаючи єдине рішення, яке поєднує активний та пасивний підходи до захисту даних.

Як Acronis Active Protection бореться з Bad Rabbit та будь-якими спробами кібер-вимагання

Передусім, Active Protection від Acronis виявляє шкідливі DLL-модулі, які запускаються через rundll32, рекомендує користувачеві заблокувати шкідливий процес і автоматично скасовує всі несанкціоновані зміни.

Active Protection також виявляє та блокує спроби зловреда змінити головний завантажувальний запис (MBR) вашого жорсткого диска.

Нарешті, надійні технології самозахисту, що входять до Active Protection від Acronis, з легкістю запобігають спробам Bad Rabbit або будь-якої іншої програми-вимагача зашифрувати резервні копії.

Надійне резервне копіювання, здатне зупинити програму-вимагач — це безумовна необхідність

Подумайте про те, що якщо антивірусна програма не впорається і зловред зашифрує резервні копії, ваші дані будуть втрачені назавжди.

Тому важливо вибрати таке рішення для резервного копіювання, яке:

  • Включає проактивні технології проти програм-вимагачів, такі як Acronis Active Protection.
  • Забезпечує багатошаровий захист, який працює на всіх стадіях потенційної атаки: попереджає, протидіє та відновлює.
  • Пропонує надійні функції самозахисту, які не дають програмі-здирнику наражати на небезпеку ні локальні, ні хмарні резервні копії.
  • Працює швидко, тому що повільне відновлення означає втрату часу та грошей. Технології Acronis пройшли незалежне тестування, що підтвердило їхню перевагу у швидкості перед конкурентами.

Інші новини