Сергей Никитин
заместитель руководителя лаборатории по компьютерной криминалистике Group-IB
О том, как можно заразить компьютер вирусом
— Вы просматриваете сайт и вдруг видите всплывающее окно, которое предлагает вам установить новую версию устаревшего на вашем компьютере Flash Player. Вы запускаете скачивание этого плеера, после чего ваш компьютер шифруется вирусом и он начинает вымогать деньги. На нем появляется черный экран с требованием выкупа в 0,05 биткойна — это почти 300 долларов. Почему это чаще происходит не на домашних устройствах? С компьютера, который находится в корпоративной сети, легче похитить из оперативной памяти логины и пароли не его одного, а всех компьютеров сети. И используя эти логины и пароли, если хватает прав, можно по цепочке заражать каждый следующий компьютер в сети.
О том, как банки отбили атаку, а СМИ — нет
Поддержите
нашу работу!
Нажимая кнопку «Стать соучастником»,
я принимаю условия и подтверждаю свое гражданство РФ
Если у вас есть вопросы, пишите [email protected] или звоните:
+7 (929) 612-03-68
— Банки уже достаточно давно находятся под вирусными атаками, часто весьма успешными. Они привыкли отражать такие угрозы. В большинстве банков запрещено скачивать что-либо на компьютеры. Мы зафиксировали, что в банках пользователи также пытались скачать обновление Flash Player, однако у них не получилось. Их остановили те же «песочницы» (режим работы операционной системы, который блокирует атаку на самом раннем этапе). Например, наша «песочница» отследила в час дня в среду первые попытки скачивания в банках, которые мы обслуживаем. Судя по всему, что касается СМИ, работники, которые сами читают свой сайт (проверяют верстку, например, или просматривают материалы коллег), сидели на сайте и увидели всплывающее окно — скачали, запустили и сами заразились. То есть если ваш ресурс взломан, окно может всплыть в любой момент, пока вы что-то на сайте читаете. Это может быть любой пользователь в любой точке мира, в большинстве случаев сейчас это русскоязычные и украиноязычные сайты.
Об отличиях от других вирусов этого года — WannaCry и Petya
— Здесь все-таки от пользователя требуются активные действия. Ты должен сам зайти на сайт обновления, сам подтвердить загрузку. У WannaCry и Petya была ситуация на уязвимость, достаточно было просто выйти в интернет, и вы заражались. Между Petya и Bad Rabbit различие в том, что само шифрование другое. Но мы нашли и у Petya, и у Bad Rabbit очень характерные совпадающие участки кода, которые прямо нас наталкивают на мысль, что либо у этих вирусов один автор, либо это какой-то подражатель.
О прогнозе на «уничтожение» вируса
— Сама атака сильно проще, нежели у прошлых вирусов, и уже вчера ночью практически все компании стали вносить в свои системы стоп-листы. Тем не менее пока ни от одного зараженного клиента не приходило оповещение, что была сделана успешная разблокировка. То есть технически вроде весь инструментарий, чтобы расшифровать, есть. Подтвердить, что, заплатив выкуп, можно получить себе назад обезвреженный компьютер, мы до сих пор не можем. Главное, к чему нужно быть готовым: такие атаки будут повторяться. Учитывая, что до сих пор люди открывают и ведутся на всплывающие окна. Это как лакмусовая бумажка, которая показывает, что у нас пользователей легко обмануть и заставить нажать на нужную хакерам ссылку.
Поддержите
нашу работу!
Нажимая кнопку «Стать соучастником»,
я принимаю условия и подтверждаю свое гражданство РФ
Если у вас есть вопросы, пишите [email protected] или звоните:
+7 (929) 612-03-68