W sieci pojawiło się kolejne zagrożenie – wirus „Bad Rabbit”, którego aktywacja powoduje szyfrowanie plików na dyskach lokalnych. Szkodnik aktywuje się poprzez uruchomienie fałszywej aktualizacji Flash, którą użytkownik musi zaakceptować, a później… każe zapłacić prawie 1000 złotych za odblokowanie komputera.
Nowa odmiana ransomware sieje spustoszenie na Ukrainie. Doprowadziła do sparaliżowania lotniska w Odessie, metra w Kijowie i sieci informatycznej ministerstwa infrastruktury. Ukraiński zespół, powołany do reagowania na zdarzenia, naruszające bezpieczeństwo w sieci, ostrzega przed nową falą cyberataków i wzywa do wzmożonej czujności operatorów systemów telekomunikacyjnych i baz danych, szczególnie w infrastrukturze transportowej, jak również zwykłych użytkowników.
ZWYCZAJNA AKTUALIZACJA
Komputer można zainfekować poprzez pobranie fałszywej aktualizacji Flash Playera. Rozpowszechniana jest poprzez przejęte przez napastników strony, głównie w domenach .ua i .ru. Po zakończeniu instalacji uruchamia się narzędzie do wydobycia z pamięci komputera loginów i haseł, a następnie wykorzystuje je do uzyskania dostępu do komputerów w sieci lokalnej. Jednocześnie z szyfrowaniem zasobów w sieci, Bad Rabbit rozpoczyna szyfrowanie plików użytkownika. Usuwa logi systemowe i kronikę systemu plików, by utrudnić rozpoznanie ataku i przywrócenie plików.
ZAPŁAĆ ZA SPOKÓJ
Kolejnym etapem jest zrestartowanie komputera. Wskutek tej zmiany użytkownik, zamiast zobaczyć windowsowy pulpit, zobaczy jedynie czerwone napisy na czarnym tle, informujące o zaszyfrowaniu komputera i możliwości wykupienia usługi deszyfracji za 0,05 BTC (Bitcoiny – zdecentralizowana waluta internetowa), tj. około 800 zł – przynajmniej na początku. Licznik na stronie do opłacenia okupu odmierza czas, przypominając, że cena usługi pójdzie w górę.
OBECNY W POLSCE I STANACH
Większość (65%) alarmów o pojawieniu się wirusa pochodzi z Rosji. Bad Rabbit miał już zainfekować wiele popularnych rosyjskich firm mediowych, wśród nich znalazła się agencja prasowa Interfax oraz redakcja petersburskiej gazety Fontanka.ru. Mimo wszystko Ukraina, z której pochodzi 12,2% alarmów, została najbardziej poszkodowana. Odnotowano też jego obecność w Bułgarii, Turcji i Japonii, Stanach Zjednoczonych, Korei Południowej i Polsce.
JAK SIĘ CHRONIĆ?
– Najprostszym sposobem na ograniczenie zagrożenia jest nieaktualizowanie Flash Player-a z poziomu przeglądarki – producent już dawno wbudował proces aktualizacji w aplikację i nie trzeba tego robić „na życzenie” strony www. W internecie można znaleźć inne metody zabezpieczeń, ale ich zastosowanie jest trochę bardziej skomplikowane – ostrzega Rafał Kamiński, informatyk Radia Gdańsk. – Jeśli jednak dojdzie do infekcji, to przede wszystkim trzeba odłączyć komputer od sieci, żeby wirus nie przeniósł się na inne maszyny. W tej chwili nie ma stuprocentowej metody na odszyfrowanie plików, więc jedynym ratunkiem jest przywrócenie danych z kopii zapasowych, które jednak trzeba zrobić wcześniej, o czym bez przerwy przypominam wszystkim użytkownikom – dodaje.
mk
