Ransomware kampanja Bad Rabbit

U utorak, 24. listopada 2017. zabilježena je nova računalna ugroza, poznata pod nazivom Bad Rabbit, koja se tijekom dana proširila diljem Europe i dijelom Azije. Radi se o zloćudnom programu, ransomware, čija je osnovna zadaća kriptiranje podataka na zaraženom računalu.

U početnom valu napada ciljane su novinske agencije, željeznički kolodvori i zrakoplovne luke. Većina zaraza dogodila se na području Rusije i Ukrajine, ali pogođena su i računala u Turskoj, Bugarskoj, Njemačkoj i Japanu.

Zloćudni program rađen je za operacijski sustav Windows. Početno se širi putem web sjedišta koja korisniku ponude ažuriranje programa Adobe Flash Player, kao što je prikazano na slici.

https://www.welivesecurity.com/wp-content/uploads/2017/10/diskcoder-1024x687.png

U slučaju da korisnik dohvati i pokrene ažuriranje uz administratorske ovlasti, sadržaj diska se kriptira i postaje trajno nedostupan. Nakon zaraze računala, zloćudni program se širi mrežom putem SMB protokola korištenjem raznih kombinacija korisničkih imena i lozinki. Pokretanje na računalima u mreži izvodi se pomoću WMI servisa za udaljeno administriranje.

Zaštita od ove ugroze provodi se na sljedeće načine:

  • Općenito, korisnici računala bez konzultacije s administratorom sustava ne bi smjeli dohvaćati izvršne datoteke i ažurirati programe.
  • Instalacija ažuriranja za Windows Defender Antivirus (potrebna je verzija 1.225.29.0 ili viša). Instalacija ažuriranja za druga antivirusna rješenja.
  • Zabrana pristupa web sjedištima sa zloćudnim programom. Popis domena može se pronaći na drugoj poveznici.
  • Privremeno isključivanje WMI servisa kako bi se spriječilo širenje mrežom nakon početne zaraze.

Općenite preporuke vezane uz ransomware možete pronaći na poveznici:

https://www.zsis.hr/default.aspx?id=385.

Dodatne informacije o napadu i zaštiti od napada mogu se pronaći na sljedećim poveznicama: