Вирус-шифровальщик Bad Rabbit, атаковавший во вторник российские СМИ и украинские компании, является модифицированной версией вируса NotPetya, который поразил IT-системы организаций в нескольких странах в июне. Об этом сообщается на сайте компании Group-IB, специализирующейся на расследовании киберпреступлений.

«В ходе анализа установлено, что BadRabbit является модифицированной версией NotPetya с исправленными ошибками в алгоритме шифрования. Код BadRabbit включает в себя части, полностью повторяющие NotPetya», — утверждают специалисты.

 «Group-IB зафиксировала попытки заражения вирусом инфраструктур ряда российских банков, которые используют систему обнаружения вторжений компании. Эти файлы приходили туда во вторник с 13:00 до 15:00 мск. То есть на банки этот вирус тоже пытались распространить», — сказал Илья Сачков, основатель и генеральный директор Group-IB .

Как сообщает в своем блоге российская компания, специализирующаяся на предотвращении и расследовании киберпреступлений, Group-IB, вирус BadRabbit направили на агентство Интерфакс и петербургское издание «Фонтанка.ру». Были зафиксированы и попытки заражений банковских инфраструктур. «Совпадения в коде указывают на связь атаки с использованием «Bad Rabbit» с июньской эпидемией шифровальщика NotPetya, поразившего энергетические, телекоммуникационные и финансовые компании», — пишет компания.

Около 2.00 мск среды замруководителя лаборатории компьютерной криминалистики компании Group-IB Сергей Никитин заявил, что атака Bad Rabbit завершилась.

На 8.00 мск ресурсы «Интерфакса» не работали. Работа сайта «Фонтанки.ру» восстановилась, но главный редактор издания Александр Горшков заявил, что связывает атаку не с вирусом-шифровальщиком, а считает это взломом сервера в ответ на критические и актуальные публикации «Фонтанки».

В Украине вирус атаковал киевский метрополитен и аэропорт Одессы. Служба безопасности Украины еще около 21.00 во вторник заявила, что его распространение прекращено. В СБУ заявили, что вирус приходит с фишинговыми электронными письмами с обратным адресом, который ассоциируется со службой технической поддержки корпорации Microsoft, передавал УНИАН.

Новый вирус представляет собой более продвинутую версию шифровальщика Petya и отличается тем, что не использует уязвимость Microsoft файл-сервера srv.sys, а шифрование происходит с использованием легального драйвера ядра dcrypt.sys, что затрудняет обнаружение шифровальщика классическими антивирусными программами, пояснили РБК эксперты компании Acronis. Для проникновения на компьютеры вирус использовал поддельные сертификаты, имитирующие Symantec (американская компания — производитель программного обеспечения).

По словам замглавы Group-IB Сергея Никитина, основная волна распространения BadRabbit уже завершилась, однако отдельные случаи заражения ещё возможны.

Сообщается, что оставить вирус можно, если создать файл infpub.dat  в корневой папке и разрешить ему только чтение. Тогда вирус не сможет зашифровать файлы. Также в компании пояснили, что компьютеры, которые были замечены в пересылке вируса, нужно оперативно изолировать от сети, чтобы избежать распространения вируса. Также необходимо принять меры  безопасности, например, сменить пароли, заблокировать IP-адреса и доменные имена, с которых происходила рассылка.

Специалисты Group-IB считают, что есть возможность установить лиц, причастных к атаке. Они полагают, что речь, скорее всего, идет о массовой атаке, а не целевой.

Напомним, с начала нынешнего года были зафиксированы две масштабных хакерских атаки с применением вирусов-шифровальщиков. 27 июня атаке при помощи вируса-шифровальщика Petya.A, который блокирует доступ к данным и требует деньги за разблокировку, подверглись боле 80 компаний в России и на Украине. Среди пострадавших от атаки в РФ Mars, Nivea, Mondelez International (производитель шоколада Alpen Gold), а также «Роснефть» и «Башнефть». На Украине сбои были зафиксированы в работе «Запорожьеоблэнерго» и «Укртелекома», крупнейших сотовых операторов, была парализована работа Чернобыльской АЭС. Российские банки в ходе этой атаки практически не пострадали. Временные ограничения на обслуживание клиентов вводил только банк «Хоум кредит», его сайт во время атаки был также недоступен.

Ещё одна масштабная вирусная атака на компьютеры системы по всему миру была зафиксирована 12 мая. От вирус-шифровальщика WannaCry пострадали пользователи в 74 странах мира, наибольшее количество атак пришлось на Россию. Вирус воспользовался уязвимостью в операционных системах Windows, на которых не были установлены обновления. Работе большинства российских компаний вирус не помешал, однако Центробанк зафиксировал несколько случаев успешной атаки WannaCry на российские банки. Как пояснили в ЦБ, «последствия этих инцидентов были устранены в кратчайшие сроки».