Нов шифроващ червей BadRabbit

2017-11-09

На 24-ти октомври 2017 г. неизвестни лица пуснаха да се разпространява нов шифроващ червей, наречен BadRabbit, подобен на червея Petya. Началното разпространение беше извършено чрез хакнати сайтове за новини – предимно руски и украински, но също така и два български, един чешки и един румънски. При посещение на някой от хакнатите сайтове, потребителят получава предупреждение, че трябва да си обнови програмата Флаш. Ако това бъде прието, изпраща му се изпълним файл, който пуска червея.

Подобно на Petya, този червей се разпространява само в локална мрежа (т.е., не по Интернет, както това прави червеят WannaCry). За разлика от Petya, обаче, този червей не използва кибер-оръжието EternalBlue на NSA. Вместо това, той се опитва да се свърже с компютрите на други потребители от локалната мрежа, като изпробва редица често използвани потребителски имена и пароли. Подобно на Petya, BadRabbit шифрова файловете на потребителя, след което шифрова и главната таблица на съдържанието на файловете, правейки компютъра неизползваем.

За разлика от Petya, BadRabbit използва легитимна програма за шифроване на диска и не унищожава ключа – т.е., теоретично информацията може да бъде възстановена след плащане на откупа.

Основните жертви на червея са в Русия (в резултат на атаката сайтовете на ТАСС и ИНТЕРФАКС станаха недостъпни) и в по-малка степен в Украйна. Има, обаче, и данни за жертви в Турция, Германия, България и САЩ.