Bad Rabbit je vrlo sličan ransomwareu Not Petya ali se nije proširio previše van Rusije i Ukrajine. Barem za sada.
Adobov kraj Flasha je najavljen za 2020.-tu godinu, ali to je prekasno. Barem nam se tako čini. Novi ransomware se širi Europom, a jedan od krivaca je upravo Flash.
Ransomware je nazvan Bad Rabbit i do sada nije viđen u Europi i svijetu, odnosno prvi puta je uočen 24. listopada ove godine. Do današnjeg datuma većina zaraženih sustava je u Rusiji i Ukrajini, te je ovo treći ransomware ove godine koji se dosta brzo širi i koji bi mogao (opet) donijeti određene financijske probleme određenim institucijama. Svi se sjećamo što su napravili WannaCry i NotPetya, a sada je na redu Bad Rabbit. Evo što do sada znamo o istome …
Što je točno Bad Rabbit?
Kao što smo rekli, radi se o ransomwareu koji se širi “drive-by” napadima preko nesigurnih, odnosno kompromitiranih web stranica. Ako su točne informacije iz Kaspersky Laboratorija, radi se o tome da se na legalne stranice postavlja tzv. “malware dropper” koji posjetiteljima “šalje” malware na računalo, s time da se malware šalje s infrastrukture hakera koji su napravili ovaj malware.
Malware je “zapakiran” kao Adobe Flash installer. Kada ga takvog pokrenete, jer mislite da je stvarno Flash installer, on počinje zaključavati inficirano računalo. Zanimljivo je ipak da se malware ne počinje skidati sam, nego morate kliknuti na njega.
Ako osoba i pokrene inficirani installer, računalo se zaključa, odnosno počinje se kriptirati i više mu ne možete pristupiti, nego vam se javlja poruka da platite otkupninu u vrijednosti 0.05 Bitcoina, odnosno oko 280 dolara. I to morate napraviti navodno u 40 sati. Za kriptiranje se koristi DiskCryptor koji se i legalno koristi za kriptiranje diskova (ali tada vi imate master šifru, sada ju morate “otkupiti”).
Napomena: Ne plaćajte taj iznos! 2000 kuna je dosta novaca, a šansa da ćete dobiti ključ za dekriptiranje diska je minimalna! To se potvrdilo i s prijašnja dva malwarea. Plaćeno je preko 200.000 dolara ali nema dokaza da je itko otključao svoje računalo.
Tko je pogođen ovim ransomwareom?
Za razliku od WannaCry i Not Petye, Bad Rabbit se nije još proširio globalno. Većina incidenata se dogodila u Rusiji ili Ukrajini. Možete ovdje pročitati i blog post kojeg je napisala sigurnosna kompanija Eset, koja kaže da su mnoge ruske domene (.ru) pogođene ovim malwareom/ransomwareom te ga prenose na posjetitelje dotičnih web stranica. Kaspersky kaže da su većinom pogođene medijske web stranice koje imaju jako puno posjetitelja zbog sadržaja kojeg objavljuju.
No, neka izvješća kažu da zaraženih stranica ima i u Njemačkoj i Turskoj, odnosno stranica s tih domena. Uz njih, pogođene su i neke važnije institucije kao što je Kijevski Metro, Odessa aerodrom i mnoge “administrativne” institucije.
Bez obzira na situaciju i mogućnost da se Bad Rabbit ne proširi globalno, preporučujemo da instalirate sve moguće sigurnosne zakrpe i da ažurirate računalo što prije. Nije na odmet ni napraviti puni backup svih (važnijih) podataka.
Tko stoji iza njega i od kuda dolazi?
Nijedan ovakav malware, odnosno ransomware nije moguće povezati s konkretnom grupom hakera ili s nekom zemljom. Analize pokazuju samo da postoje mnoge sličnosti s ransomwareom Not Petya.
Ovaj Ransomware koristi sigurnosni propust u Server Message Blocku (SMB) koji se također koristio i kod Not Petye, tako da postoji velika šansa da iza njega stoji isti autor, odnosno ista grupa hakera. Zapravo, ne znamo da li je to napravila jedna osoba ili više osoba.
Zanimljivo je samo da je sve krenulo od Rusije, pa se “prelilo” na Ukrajinu i da se dalje ne širi. Da li su to bile originalne mete ili ne, nećemo znati, ali nije previše ni bitno. Bitno je da se ne zarazite s istim i da ne izgubite kakve važne podatke. Zato ažurirajte računalo, napravite backup i zaboravite na ovog “zločestog zeca”.
Piše: B.P.
