Гомін Галичини

останні новини


ДЕРЖАВА

Президент
Верховна Рада
Кабінет міністрів



Шифрувальник файлів bad rabbit та фейкове оновлення flash player

2017-10-25 15:41:39


Шифрувальник файлів bad rabbit та фейкове оновлення flash player

Поряд з розсилкою 24.10.2017 року шифрувальника файлів locky, який розповсюджувався через фішингові повідомлення та використовув техніку dde спостерігалася більш масова розсилка шифрувальника файлів bad rabbit через скомпрометовані веб-сайти завдяки drive-by download атаці. Дана атака дозволяла зловмисникам розповсюджувати шкідливе програмне забезпечення через веб-сайти, навіть не зламуючи їх.

        Коротко про вчорашні події:
— початкове зараження відбулося через скомпрометовані веб-сайти та фейкове оновлення flash player, яке для активації та подальшої експлуатації потребувало взаємодію з користувачем (користувач мав підтвердити згоду щодо встановлення оновлення);
— розповсюдження у локальній мережі відбувалося через сканування  внутрішньої мережі на відкритіcть smb-файлів відкритого доступу, а також намаганням використати протокол http webdav, який базується на http і дозволяє використовувати web як ресурс для читання і запису;
— використовувався mimikatz для вилучення облікових даних користувача з пам’яті інфікованого ПК;
— використовувалося легітимне програмне забезпечення diskcryptor для шифрування файлів;
— типи розширень файлів, які були зашифровані на ПК користувача:

.3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf.der.dib.disk.djvu.doc.docx.dwg.eml.fdb
.gz.h.hdd.hpp.hxx.iso.java.jfif.jpe.jpeg.jpg.js.kdbx.key.mail.mdb.msg.nrg.odc.odf.odg.odi.odm.odp.ods.odt.ora.ost.ova.ovf.p12.p7b.p7c
.pdf.pem.pfx.php.pmf.png.ppt.pptx.ps1.pst.pvi.py.pyc.pyw.qcow.qcow2.rar.rb.rtf.scm.sln.sql.tar.tib.tif.tiff.vb.vbox.vbs.vcb.vdi.vfd.vhd
.vhdx.vmc.vmdk.vmsd.vmtm.vmx.vsdx.vsv.work.xls.xlsx.xml.xvd.zip.


Більш детальні відомості щодо атаки були опубліковані антивірусними лабораторіями та іншими відомими вендорами в галузі кібербезпеки:

https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back-improved-ransomware/
https://www.kaspersky.com/blog/bad-rabbit-ransomware/19887/
https://securelist.com/bad-rabbit-ransomware/82851/
https://www.theregister.co.uk/2017/10/24/badrabbit_ransomware/
https://gist.github.com/roycewilliams/a723aaf8a6ac3ba4f817847610935cfb

 

Індикатори компрометації:

  • hxxp://185.149.120[.]3/scholargoogle/
  • hxxp://1dnscontrol[.]com/flash_install.php
  • hxxp://caforssztxqzf2nm[.]onion


Скомпрометовані сайти:

  • hxxp://argumentiru[.]com
  • hxxp://www.fontanka[.]ru
  • hxxp://grupovo[.]bg
  • hxxp://www.sinematurk[.]com
  • hxxp://www.aica.co[.]jp
  • hxxp://spbvoditel[.]ru
  • hxxp://argumenti[.]ru
  • hxxp://www.mediaport[.]ua
  • hxxp://blog.fontanka[.]ru
  • hxxp://an-crimea[.]ru
  • hxxp://www.t.ks[.]ua
  • hxxp://most-dnepr[.]info
  • hxxp://osvitaportal.com[.]ua
  • hxxp://www.otbrana[.]com
  • hxxp://calendar.fontanka[.]ru
  • hxxp://www.grupovo[.]bg
  • hxxp://www.pensionhotel[.]cz
  • hxxp://www.online812[.]ru
  • hxxp://www.imer[.]ro
  • hxxp://novayagazeta.spb[.]ru
  • hxxp://i24.com[.]ua
  • hxxp://bg.pensionhotel[.]com
  • hxxp://ankerch-crimea[.]ru

джерело: 911






Що ще читають на цю тему




Коментарів 1
Hey! Nice post thanks for sharing this…..Keep updating. We provide Kaspersky Antivirus Customer Support. if you want any solution related to Antivirus than visit here Kaspersky Customer Service

Jacob Ethan


Додати коментар


Коментар


©
Гомін Галичини 2014-2017

Редакція сайту не несе відповідальності за достовірність і зміст інформаційних повідомлень