Der dritte groß angelegte Cyberangriff innerhalb eines Jahres. Diesmal ein Virus mit neuem Namen Bad Rabbit und alten Gewohnheiten - Datenverschlüsselung und Gelderpressung zum Entsperren. Und Russland, die Ukraine und einige andere GUS-Staaten befinden sich noch immer im betroffenen Gebiet.
Bad Rabbit folgt dem üblichen Muster: Er versendet eine Phishing-E-Mail mit einem angehängten Virus oder Link. Insbesondere Cyberkriminelle können sich als technischer Support von Microsoft vorstellen und bitten, dringend eine angehängte Datei zu öffnen oder einem Link zu folgen. Es gibt einen anderen Verbreitungsweg - ein gefälschtes Adobe-Update-Fenster Flash Player... In beiden Fällen verhält sich Bad Rabbit genauso wie das sensationelle vor nicht allzu langer Zeit, es verschlüsselt die Daten des Opfers und verlangt ein Lösegeld in Höhe von 0,05 Bitcoin, was zum Wechselkurs vom 25. Oktober 2017 etwa 280 Dollar entspricht . Die Opfer der neuen Epidemie waren Interfax, die St. Petersburger Ausgabe von Fontanka, der Kiewer Metropolitan, der Flughafen Odessa und das Kulturministerium der Ukraine. Es gibt Beweise dafür neues Virus versuchte mehrere bekannte russische Banken anzugreifen, doch dieses Unterfangen scheiterte. Experten verbinden Bad Rabbit mit früheren Großangriffen in diesem Jahr. Der Beweis dafür ist die ähnliche Verschlüsselungssoftware Diskcoder.D, und dies ist dieselbe Petya-Ransomware, nur leicht modifiziert.
Wie schützt man sich vor Bad Rabbit?
Experten empfehlen Eigentümern Windows-Computer Erstellen Sie die Datei "infpub.dat" und legen Sie sie im Windows-Ordner auf dem Laufwerk "C" ab. Als Ergebnis sollte der Pfad so aussehen: C:\windows\infpub.dat. Dies kann mit einem normalen Notizblock erfolgen, jedoch mit Administratorrechten. Suchen Sie dazu einen Link zum Programm "Notepad", klicken Sie mit der rechten Maustaste und wählen Sie "Als Administrator ausführen".
Dann müssen Sie diese Datei nur unter der Adresse C: \ windows \ speichern, also im Windows-Ordner auf dem Laufwerk "C". Dateiname: infpub.dat, wobei "dat" die Dateierweiterung ist. Denken Sie daran, die Standard-Notizblock-Erweiterung "txt" durch "dat" zu ersetzen. Nachdem Sie die Datei gespeichert haben, öffnen Sie den Windows-Ordner, suchen Sie die erstellte Datei infpub.dat, klicken Sie mit der rechten Maustaste darauf und wählen Sie "Eigenschaften", wo Sie ganz unten das Kontrollkästchen "Nur Lesen" aktivieren müssen. Selbst wenn Sie sich den Bad Rabbit-Virus einfangen, kann er Ihre Daten nicht verschlüsseln.
Vorsichtsmaßnahmen
Vergessen Sie nicht, dass Sie sich vor jedem Virus schützen können, indem Sie einfach bestimmte Regeln befolgen. Es klingt banal, aber öffnen Sie niemals Briefe, geschweige denn ihre Anhänge, wenn Ihnen die Adresse verdächtig vorkommt. Phishing-E-Mails, die sich als andere Dienste ausgeben, sind die häufigste Infektionsmethode. Beobachten Sie genau, was Sie öffnen. Wenn die angehängte Datei im Brief "Wichtiges Dokument.docx _______. Exe" heißt, sollten Sie diese Datei auf keinen Fall öffnen. Außerdem benötigen Sie Backups wichtige Dateien... So kann zum Beispiel ein Familienarchiv mit Fotos oder Arbeitsdokumenten dupliziert werden auf externes Laufwerk oder bei Cloud-Speicher... Vergessen Sie nicht, wie wichtig es ist, eine Lizenz zu verwenden Windows-Version und installieren Sie regelmäßig Updates. Von Microsoft werden regelmäßig Sicherheitspatches veröffentlicht und diejenigen, die sie installieren, haben keine Probleme mit solchen Viren.
Bad Rabbit ist ein Ransomware-Verschlüsselungsvirus. Es ist erst vor kurzem erschienen und richtet sich hauptsächlich an Computer von Benutzern in Russland und der Ukraine, teilweise auch in Deutschland und der Türkei.
Das Funktionsprinzip von Ransomware-Viren ist immer gleich: auf einen Computer zu gelangen, Malware verschlüsselt Systemdateien und Benutzerdaten und blockiert den Zugriff auf den Computer mit einem Passwort. Auf dem Bildschirm werden lediglich das Virenfenster, die Forderungen des Eindringlings und die Kontonummer angezeigt, auf die er zum Freischalten Geld überweisen möchte. Nach der massiven Verbreitung von Kryptowährungen ist es populär geworden, das Lösegeld in Bitcoins zu verlangen, da Transaktionen mit ihnen von außen äußerst schwer nachzuverfolgen sind. Bad Rabbit macht das gleiche. Es nutzt Schwachstellen des Betriebssystems aus, insbesondere in Adobe Flash Spieler, und infiltriert unter dem Deckmantel der Aktualisierung für ihn.
Nach der Infektion erstellt BadRabbit in Windows-Ordner die Datei infpub.dat, die den Rest der Programmdateien erstellt: cscc.dat und dispci.exe, die ihre eigenen Änderungen an den MBR-Einstellungen der Festplatte des Benutzers vornehmen und ihre eigenen Aufgaben ähnlich dem Aufgabenplaner erstellen. Dieses bösartige Programm verfügt über eine eigene persönliche Website für Lösegeldzahlungen, verwendet den DiskCryptor-Verschlüsselungsdienst, verschlüsselt mit RSA-2048- und AE-Methoden und überwacht auch alle an diesen Computer angeschlossenen Geräte und versucht, sie ebenfalls zu infizieren.
Nach der Einschätzung von Symantec erhielt der Virus einen niedrigen Bedrohungsstatus und wurde laut Experten von denselben Entwicklern erstellt wie die Viren, die einige Monate vor Bad Rabbit, NotPetya und Petya entdeckt wurden, da sie ähnliche Arbeitsalgorithmen haben. Im Oktober 2017 tauchte erstmals die Ransomware Bad Rabbit auf, deren erste Opfer die Internetzeitung Fontanka, mehrere Medien und die Website der Nachrichtenagentur Interfax waren. Auch die Firma Beeline war dem Angriff ausgesetzt, die Bedrohung wurde jedoch rechtzeitig verhindert.
Hinweis: Glücklicherweise auf dieser Moment Programme zur Erkennung solcher Bedrohungen sind bereits effektiver als zuvor, und das Risiko einer Infektion mit diesem Virus ist gesunken.
Entfernen Sie den Bad Rabbit-Virus
Bootloader-Reparatur
Wie in den meisten Fällen dieser Art können Sie versuchen, die Bedrohung wiederherzustellen, um die Bedrohung zu beseitigen Windows-Bootloader... Im Fall von Windows 10 und Windows 8 müssen Sie dazu die Installationsverteilung des Systems an USB oder DVD anschließen und nach dem Booten von dort auf die Option "Computer reparieren" gehen. Danach müssen Sie zu "Fehlerbehebung" gehen und " Befehlszeile».
Jetzt müssen Sie die Befehle nacheinander eingeben, indem Sie jedes Mal die Eingabetaste drücken, nachdem Sie den nächsten Befehl eingegeben haben:
- bootrec / FixMbr
- bootrec / FixBoot
- bootrec / ScanOs
- bootrec / RebuildBcd
Nach den durchgeführten Operationen - beenden und neu starten. In den meisten Fällen reicht dies aus, um das Problem zu lösen.
Für Windows 7 sind die Schritte gleich, nur dort befindet sich die "Eingabeaufforderung" in den "Systemwiederherstellungsoptionen" auf der Installationsdistribution.
Beseitigen eines Virus durch den abgesicherten Modus
Um diese Methode zu verwenden, müssen Sie eingeloggt sein Sicherheitsmodus mit Netzwerkunterstützung. Es ist netzwerkfähig, kein einfacher abgesicherter Modus. In Windows 10 kann dies wieder über die Installationsverteilung erfolgen. Nachdem Sie es geladen haben, müssen Sie im Fenster mit der Schaltfläche "Installieren" die Kombination der Tasten Umschalt + F10 drücken und in das Feld eingeben:
bcdedit / set (Standard) Safeboot-Netzwerk
Unter Windows 7 können Sie beim Einschalten des Computers einfach mehrmals F8 drücken und diesen Startmodus aus der Liste im angezeigten Menü auswählen.
Nach dem Aufrufen des abgesicherten Modus besteht das Hauptziel darin, zu scannen Betriebssystem für Drohungen. Es ist besser, dies mit bewährten Dienstprogrammen wie Reimage oder Malwarebytes Anti-Malware zu tun.
Beseitigen Sie eine Bedrohung mit Recovery Center
Für den Einsatz diese Methode es ist notwendig, die "Befehlszeile" erneut zu verwenden, wie in den obigen Anweisungen beschrieben, und nach dem Start cd restore eingeben und mit Enter bestätigen. Danach müssen Sie rstrui.exe eingeben. Es öffnet sich das Programmfenster, in dem Sie zum vorherigen Wiederherstellungspunkt vor der Infektion zurückkehren können.
Grüße an Sie, liebe Besucher und Gäste dieses Blogs! Heute ist weltweit ein weiterer Ransomware-Virus mit dem Namen aufgetaucht: „ Böses Kaninchen» — « Böser Hase". Dies ist bereits die dritte sensationelle Ransomware im Jahr 2017. Die vorherigen waren auch (auch bekannt als NotPetya).
Bad Rabbit - Wer hat schon gelitten und wie viel Geld wird benötigt?
Bisher haben vermutlich mehrere russische Medien unter dieser Ransomware gelitten – darunter Interfax und Fontanka. Auch über einen Hackerangriff – möglicherweise im Zusammenhang mit demselben Bad Rabbit – berichtet der Flughafen Odessa.
Für die Entschlüsselung von Dateien verlangen die Angreifer 0,05 Bitcoin, was zum aktuellen Wechselkurs etwa 283 Dollar oder 15.700 Rubel entspricht.
Die Ergebnisse der Recherchen von Kaspersky Lab zeigen, dass bei dem Angriff keine Exploits verwendet werden. Bad Rabbit verbreitet sich über infizierte Websites: Benutzer laden ein gefälschtes Adobe Flash-Installationsprogramm herunter, starten es manuell und infizieren dadurch ihre Computer.
Laut Kaspersky Lab untersuchen Experten diesen Angriff und suchen nach Möglichkeiten, ihn zu bekämpfen sowie nach einer Möglichkeit, von der Ransomware betroffene Dateien zu entschlüsseln.
Die meisten Opfer des Angriffs befinden sich in Russland. Auch in der Ukraine, in der Türkei und in Deutschland ist bekannt, dass es ähnliche Angriffe gibt, allerdings in deutlich geringerer Zahl. Kryptograf Böses Kaninchen verbreitet sich über eine Reihe infizierter russischer Medienseiten.
Kaperskys Labor glaubt, dass alle Anzeichen darauf hindeuten, dass es sich um einen gezielten Angriff auf Unternehmensnetzwerke... Die verwendeten Methoden ähneln denen, die wir beim ExPetr-Angriff beobachtet haben, aber wir können den Zusammenhang mit ExPetr nicht bestätigen.
Es ist bereits bekannt, dass Produkte von Kaspersky Lab eine der Malware-Komponenten mithilfe eines Cloud-Dienstes erkennen. Kaspersky Security Netzwerk als UDS: DangerousObject.Multi.Generic und auch mit System Watcher als PDM: Trojan.Win32.Generic.
Wie schützt man sich vor dem Bad Rabbit-Virus?
Um nicht der neuen Bad Rabbit-Epidemie zum Opfer zu fallen, Kaspersky Lab»Wir empfehlen Ihnen Folgendes:
Wenn Sie Kaspersky Anti-Virus installiert haben, dann:
- Prüfen Sie, ob die Komponenten Kaspersky Security Network und System Watcher (auch bekannt als System Watcher) in Ihrer Sicherheitslösung aktiviert sind. Wenn nicht, schalten Sie es unbedingt ein.
Für diejenigen, die dieses Produkt nicht haben:
- Blockieren Sie die Ausführung der Datei c:\windows\infpub.dat, C:\Windows\cscc.dat. Dies kann durch erfolgen.
- Deaktivieren Sie (wenn möglich) die Verwendung des WMI-Dienstes.
Noch ein ganz wichtiger Tipp von mir:
Immer tun Sicherung (Backup - Backup ) für Sie wichtige Dateien. Auf Wechselmedien, in Cloud-Services! Das spart Nerven, Geld und Zeit!
Ich wünsche Ihnen, dass Sie sich diese Infektion nicht auf Ihrem PC anstecken. Sauberes und sicheres Internet für Sie!
Hallo alle zusammen! Erst kürzlich begann in Russland und der Ukraine, der Türkei, Deutschland und Bulgarien ein groß angelegter Hackerangriff des neuen Ransomware-Virus Bad Rabbit, auch bekannt als Diskcoder.D. Die Ransomware greift derzeit Unternehmensnetzwerke großer und mittlerer Organisationen an und blockiert alle Netzwerke. Heute verraten wir Ihnen, was dieser Trojaner ist und wie Sie sich davor schützen können.
Was für ein Virus?
Bad Rabbit (Bad Rabbit) arbeitet nach dem Standardschema für Ransomware: Beim Eindringen in das System verschlüsselt es Dateien, für deren Entschlüsselung Hacker 0,05 Bitcoin benötigen, was zum Wechselkurs 283 US-Dollar (oder 15.700 Rubel) beträgt. Das wird gemeldet separates Fenster, wo Sie tatsächlich den gekauften Schlüssel eingeben müssen. Die Bedrohung ist vom Trojaner-Typ Trojan.Win32.Generic, enthält aber auch andere Komponenten wie DangerousObject.Multi.Generic und Lösegeld .Win 32.Gen.ftl.
Bad Rabbit - neuer Ransomware-Virus
Noch ist es schwierig, alle Infektionsquellen lückenlos zurückzuverfolgen, aber damit beschäftigen sich jetzt Experten. Vermutlich dringt die Bedrohung über infizierte Seiten in den PC ein, auf denen eine Umleitung konfiguriert ist, oder unter dem Deckmantel von gefälschten Updates für beliebte Plugins wie Adobe Flash. Die Liste solcher Websites wird nur bis jetzt erweitert.
Kann ein Virus entfernt werden und wie kann ich mich schützen?
Es sei gleich gesagt, dass derzeit alle Antiviren-Labors damit begonnen haben, diesen Trojaner zu analysieren. Wenn Sie speziell nach Informationen zum Entfernen eines Virus suchen, ist dies als solches nicht der Fall. Lassen Sie uns den Standardrat sofort verwerfen - machen Sie ein Backup des Systems, einen Rückkehrpunkt, löschen Sie diese und jene Dateien. Wenn Sie keine Spielstände haben, dann funktioniert alles andere nicht, an solche Momente haben Hacker aufgrund der Spezifikation des Virus gedacht.
Ich denke, in Kürze werden Dekorateure von Amateuren für Bad Rabbit vertrieben werden - ob diese Programme verwendet werden oder nicht, ist Ihre Sache. Wie die frühere Petya-Ransomware gezeigt hat, hilft dies nur wenigen Menschen.
Sie können die Bedrohung jedoch verhindern und entfernen, wenn Sie versuchen, in den PC einzudringen. Die ersten, die auf Berichte über einen Virusausbruch reagierten, waren die Labore von Kaspersky und ESET, die bereits Penetrationsversuche blockieren. Browser Google Chrome begann auch, infizierte Ressourcen zu identifizieren und vor ihrer Gefahr zu warnen. Hier ist, was Sie tun müssen, um sich vor BadRabbit zu schützen:
- Wenn Sie Kaspersky, ESET, Dr.Web oder andere beliebte Analoga zum Schutz verwenden, müssen Sie die Datenbanken aktualisieren. Außerdem müssen Sie für Kaspersky System Watcher aktivieren und in ESET Signaturen mit Update 16295 anwenden.
- Wenn Sie keine Antivirensoftware verwenden, müssen Sie die Ausführung von Dateien blockieren C:\Windows\infpub.dat und C:\Windows\cscc.dat... Dies geschieht über den Editor. Gruppenrichtlinien oder AppLocker für Windows.
- Mach es unbedingt Sicherung dein System. Theoretisch sollte eine Kopie immer auf einem Plug-in-Medium gespeichert werden. Hier ist ein kurzes Video-Tutorial zur Erstellung.
Es ist ratsam, die Ausführung des Dienstes zu untersagen - Windows-Verwaltungsinstrumentation (WMI)... In den Top Ten heißt der Service "Werkzeuge Windows-Verwaltung” ... Geben Sie mit der rechten Taste die Eigenschaften des Dienstes ein und wählen Sie in "Starttyp" Modus "Behinderte".
Abschluss
Zusammenfassend ist das Wichtigste zu sagen - Sie sollten das Lösegeld nicht bezahlen, egal was mit Ihnen verschlüsselt wird. Solche Aktionen regen Betrüger nur dazu an, neue Virenangriffe... Folgen Sie den Foren von Antiviren-Unternehmen, die hoffentlich bald den Bad Rabbit-Virus untersuchen und eine wirksame Pille finden. Befolgen Sie unbedingt die oben genannten Punkte, um Ihr Betriebssystem zu schützen. Bei Schwierigkeiten bei der Umsetzung melden Sie sich in den Kommentaren ab.
Der als Bad Rabbit bekannte Ransomware-Virus hat Zehntausende Computer in der Ukraine, der Türkei und Deutschland angegriffen. Aber die meisten Angriffe trafen auf Russland. Um was für ein Virus es sich handelt und wie Sie Ihren Computer schützen können, erfahren Sie in unserer Rubrik "Fragen und Antworten".
Wer litt in Russland unter Bad Rabbit?
Der Ransomware-Virus Bad Rabbit begann sich am 24. Oktober zu verbreiten. Zu den Opfern seiner Taten zählen die Nachrichtenagentur Interfax und die Publikation Fontanka.ru.
Auch die U-Bahn Kiew und der Flughafen Odessa litten unter den Aktionen von Hackern. Dann wurde ein Versuch bekannt, das System mehrerer russischer Banken aus den Top 20 zu hacken.
Allen Anhaltspunkten zufolge handelt es sich um einen gezielten Angriff auf Unternehmensnetzwerke, da ähnliche Methoden wie bei der ExPetr-Virenattacke verwendet werden.
Das neue Virus stellt eine Forderung an alle: ein Lösegeld von 0,05 Bitcoin. In Rubel sind dies etwa 16 Tausend Rubel. Er weist jedoch darauf hin, dass die Zeit zur Erfüllung dieser Anforderung begrenzt ist. Etwas über 40 Stunden werden für alles gegeben. Außerdem erhöht sich die Lösegeldgebühr.
Was ist dieses Virus und wie funktioniert es?
Haben Sie schon herausgefunden, wer hinter der Verbreitung steckt?
Wer hinter diesem Angriff steckt, konnte noch nicht geklärt werden. Die Untersuchung führte die Programmierer nur zum Domainnamen.
Antiviren-Spezialisten weisen auf die Ähnlichkeit des neuen Virus mit dem Petya-Virus hin.
Aber im Gegensatz zu früheren Viren in diesem Jahr entschieden sich die Hacker diesmal für den einfachen Weg, berichtet 1tv.ru.
„Anscheinend erwarteten die Kriminellen von den meisten Unternehmen, dass sie ihre Computer nach diesen beiden Angriffen aktualisieren würden, und beschlossen, genug zu versuchen.“ billiges Heilmittel- Social Engineering, um Benutzer zunächst relativ unbemerkt zu infizieren", sagt Vyacheslav Zakorzhevsky, Leiter der Antiviren-Forschungsabteilung bei Kaspersky Lab.
Wie schützen Sie Ihren Computer vor einem Virus?
Stellen Sie sicher, dass Sie Ihr System sichern. Wenn Sie Kaspersky, ESET, Dr.Web oder andere beliebte Analoga zum Schutz verwenden, sollten Sie die Datenbanken umgehend aktualisieren. Außerdem sei es für Kaspersky notwendig, die Aktivitätsüberwachung (System Watcher) zu aktivieren und in ESET Signaturen mit Update 16295 anzuwenden, teilt Talkdevice mit.
Wenn Sie keine Antivirensoftware haben, blockieren Sie die Ausführung der Dateien C:\Windows\infpub.dat und C:\Windows\cscc.dat. Dies erfolgt über den Gruppenrichtlinien-Editor oder AppLocker für Windows.
Verhindern, dass der Dienst ausgeführt wird – Windows-Verwaltungsinstrumentation (WMI). Geben Sie über die rechte Schaltfläche die Eigenschaften des Dienstes ein und wählen Sie im "Starttyp" den Modus "Deaktiviert".
