В коде вируса BadRabbit отыскали имена героев «Игры престолов»

Напомним, что в случае с атакой NotPetya, которую ученые связывали с группой BlackEnergy, первыми жертвами стали компании, использующие программное обеспечение украинского разработчика системы документооборота «M.E.Doc». «Большинство срабатываний антивирусных продуктов ESET приходится на Российскую Федерацию и Украинское государство, затронуты также Турция, Болгария и некоторые иные страны», — сообщается в заявлении.

«В коде вируса-шифровальщика BadRabbit, атаковавшего огромное количество компьютеров в РФ и в государстве Украина, обнаружились отсылки к сериалу канала HBO „Игра престолов“ по серии романов „Песнь Льда и Пламени“ Джорджа Мартина». Как правило они были нацелена на русские компании.

Когда пользователь посещает скомпрометированный сайт, всплывает окно обновления Flash Player. Так, некоторые части «Плохого кролика» практически на все 100% повторяют части кода NotPetya. Затем даже в случае заражения файлы не будут зашифрованы, порекомендовали в Group-IB.

Злоумышленники требуют 0,05 биткоина (283 доллара, либо 15 700 руб. по текущему курсу).

Банк РФ предупреждает, что хакеры продолжат распространять вредоносное ПО, в том числе созданное для скрытного шифрования файлов.

К настоящему времени массовое распространение BadRabbit удалось остановить, но профессионалы по кибербезопасности советуют пользователям Windows подстраховаться, заблокировав выполнение файлов c:/windows/infpub.dat и C:/Windows/cscc.dat и запретив использование сервиса WMI. Установлено также, что в атаке применяется программа Mimikatz, которая перехватывает на заражённой машине логины и пароли. Профессионалы рекомендуют пользователям ПК под управлением ОС Windows сделать файл C:/windows/infpub.dat, которому необходимо предоставить права «только для чтения».

Профессионалы «Лаборатории Касперского» фиксировали атаки Bad Rabbit также в Турции и Германии, докладывала Deutsche Welle. Один из самых распространенных вирусов-вымогателей программа CryptoLocker — начиная с сентября 2013-ого заразил не менее четверти млн. компьютеров в государствах ЕС. Затем даже в случае заражения файлы не будут зашифрованы.