Вирус Bad Rabbit с использованием EternalRomance Exploit для распространения вируса

Спустя день после того, как были обнаружены связи между NotPetya и известными атаками вируса Bad Rabbit, исследовательская группа Cisco подтвердила связь, указав, что комплект эксплойтов EternalRomance от NSA отвечал за распространение вредоносного ПО в скомпрометированных сетях.

Это отрицает предыдущие сообщения о том, что ни EternalRomance, ни EternalBlue не сыграли свою роль в вирусном нападении на той неделе, которое было в первую очередь ограничено Россией и Украиной.

В ходе текущего расследования Bad Rabbit группа Cisco заявила, что использование эксплойта EternalRomance, используемого в составе Bad Rabbit, было изменено.

«Это нетрадиционное использование эксплойта EternalRomance, - сказал Мартин Ли, технический руководитель отдела исследований безопасности исследовательского подразделения Cisco – Talos. «Этот код отличается из тех, что мы видели в качестве части NotPetya, но с другой стороны, он подвергает уязвимости несколько иначе».

EternalRomance - это один из разнообразных эксплойтов Windows, выпущенных в апреле ShadowBrokers, неопознанной группой, которая уже более года распространяет эксплойты Equation Group. В любом случае большое количество этих нападений было модерировано в MS17-010, выпуске безопасности Microsoft, в котором были включены исправления уязвимостей в протоколе SMBv1, обработанные этими рисками.

Эти общедоступные эксплойты влияют на старые версии и устаревшую версию Windows, то есть на Windows 7, XP и Vista, на клиентской стороне и на Windows Server 2003-2008 годов.

EternalRomance - это метод удаленного выполнения кода, который включает CVE-2017-0145. Что увеличило атаки WannaCry и NotPetya, так это то, что различные ассоциации открывали SMBv1 для Интернета вместо своей собственной цели. Это позволило WannaCry специально распространяться через Интернет и заражать компьютеры через скомпрометированную сеть.

«Этот эксплойт положил начало для удаленного распространения и отправки косвенного доступа SMB. В центре этого эксплойта есть своего рода уязвимость, которая ведет к центру управления хакерами », - говорится в заявлении Microsoft в исследовании EternalRomance, опубликованном в июне. «Точно так же, с любым эксплойтом, связанным с использованием утечки, злоумышленник должен знать или контролировать дизайн нагрузки, чтобы точно добиться успеха».

В последнем обновлении Cisco сказал, что вирус Bad Rabbit на этой неделе показал некоторые симптомы, похожие на EternalRomance.

«Мы можем быть искренне уверены, что Bad Rabbit включает в себя эксплойт EternalRomance, используемый для перезаписывания настроек безопасности ядра, чтобы предоставить ему возможность отправлять удаленные службы, в то время как в NotPetya он использовался для внедрения вторичного прохода DoublePulsar», - сказал Cisco. Эти два действия возможны из-за того, что EternalRomance позволяет злоумышленникам читать и записывать точную информацию в пространство памяти ядра». DoublePulsar - это полезная нагрузка ядра на основе памяти, которая складывается в x86 и 64-разрядные фреймворки и позволяет злоумышленнику выполнять любую новую полезную нагрузку на shellcode, когда захочет. Это был кусок сцены эксплойта Fuzzbunch, залитый Shadowbrokers.

Это полная полезная нагрузка, которая разрешает полный контроль над системой для хакеров, а затем они управляют системой по своему усмотрению », - сказал Шон Диллон (Sean Dillon), старший аналитик RiskSense по безопасности. Диллон опубликовал свой анализ в апреле после обратного инженерного сообщения DoublePulsar. Он первым изменил эту полезную нагрузку.

Специалисты «Лаборатории Касперского» в среду подтвердили связь между вирусоми «Bad Rabbit» и «NotPetya», обнаружив копии в алгоритме хэширования, используемые в составе двух нападений, а также часть подобных доменов. Он также принимает учетные данные, используя утилиту Windows WMIC.

«Лаборатория Касперского» вынесла вердикт вирусу «Bad Rabbit», в отличие от NotPetya, это также не атака очистителя. У Cisco также было свое высказывание, похожее на «Лабораторию Касперского».

«Ученые дополнительно обнаружили, что код вируса Bad Rabbit не содержит уязвимости, которая может быть использована для дешифрования данных жертв. Нет реального способа декодирования данных без предоставленного хакером ключа «Лаборатории Касперского» сегодня. «Сказав это, специалисты обнаружили дефект в коде dispci.exe, что означает, что вредоносное ПО не уничтожает полученный секретный ключ из памяти, поэтому существует тонкая вероятность его отделить».

«Лаборатория Касперского» также сообщила, что в июле она увидела следы нападения, начиная с компромисса известных медиа-мест в России, включая «Интерфакс». Правительственные организации в Турции, включая метро в Киеве и весь первичный аэропорт, дополнительно обслуживали вредоносное ПО, а также различные сайты в Турции, Германии и США, где около 200 все вместе. В любом случае, злоумышленники вызывали вредоносный код, когда он был выпущен.

Вредоносная программа распространялась главным образом через загружаемые файлы, где взломанные веб-сайты служили фейковыми установщикамм Flash Player, который запускается на взломанной системе, которая соединяется с «Контрольным и командным центром», контролирующимся хакерами. Вредоносная программа зависит от активности пользователя для запуска исполняемого файла и авторизации доступа через напоминание Windows UAC.

В то время как ExPetr является вредоносным программным обеспечением, замаскированным под вирус-вымогатель, Bad Rabbit вводит вредоносные коды из файла с именем «dispci.exe», который извлекается из бесплатного и открытого программного обеспечения шифрования диска DiskCryptor.

«Вредоносная программа изменяет главную загрузочную запись (MBR) жесткого диска зараженной системы, чтобы перевести процедуру загрузки в код создателей вредоносных программ с главной целью показать примечание о выкупе», - говорит Cisco. «Замечание о выкупе было показано вскоре после перезагрузки системы, в принципе, так же, как и записи о выкупе, показанные другими вымогателями, чтобы выделить вирус Petya, что мы видели в других выдающихся атаках в этом году».

Взламыватели требуют 0,05 биткойна или 298 долларов США в нынешнем стандарте конвертации в обмен на ключ дешифрования, который разблокирует их зашифрованный жесткий диск. Каждой жертве присваивается платежный кошелек, чтобы легче было оплачивать.

Временно отключите любое требование выкупа, чтобы вернуть систему в безопасный режим с помощью командной строки.

Шаг 1 (войти в безопасный режим)

1. Шаги, которые необходимо выполнить, чтобы войти в безопасный режим Win XP / Vista / 7.
2. Нажмите «Пуск», затем «Выключение», затем перезапустите.
3. Пока компьютер перезагружается, при первом запуске экрана начните нажимать F8, пока не увидите расширенные параметры загрузки.
4. В расширенной опции загрузки вам нужно выбрать безопасный режим с помощью командной строки из списка заданных параметров.

Шаги, которые необходимо выполнить, чтобы войти в безопасный режим в Win 8/10.

1. В окне экране входа вам нужно нажать кнопку питания.
2. Теперь нажмите и удерживайте клавишу shift key на клавиатуре, а затем нажмите «Перезапустить».
3. Теперь среди списка параметров вам нужно выбрать «Устранение неполадок», а затем «Расширенные параметры», затем «Параметры запуска» и, наконец, нажать «Перезапустить».
4. После перезагрузки компьютера и получения списка параметров запуска вам необходимо выбрать «Включить безопасный режим с помощью командной строки».

Шаг 2 (восстановить систему)

1. Когда вы увидите окно командной строки, введите восстановление cd и нажмите Enter на клавиатуре.
2. Теперь введите rstrui.exe и снова нажмите Enter.
3. Затем вы увидите новые окна, щелкните дальше и выберите точку восстановления, которая была до даты заражения.
4. Затем нажмите «Далее», а затем «Да».

После отключения брандмауэра вам необходимо создать другой мощный брандмауэр для борьбы с такими вторжениями и предотвращения их в будущем.

Советы по предотвращению заражения вашей системы всеми вирусами и вредоносными программами: