Bad Rabbit: различия между версиями

Bad Rabbit
Bad Rabbit
Тип	Вирус-вымогатель, сетевой червь
Год появления	24 октября 2017; (начало массовой атаки)
	Описание Symantec
	Описание Securelist

Интерактивная навигация по истории

(Показать все непатрулированные изменения)

[отпатрулированная версия]

[непроверенная версия]

← Предыдущая правка

Содержимое удалено Содержимое добавлено

ВизуальныйВики-текст

Линейный

Текущая версия от 08:54, 15 октября 2023

Bad Rabbit (рус. «Плохой кролик») — вирус-шифровальщик, разработанный для ОС семейства Windows и обнаруженный 24 октября 2017 года^[1]. По предположениям аналитиков, программа имеет сходство отдельных фрагментов с вирусом NotPetya.

По оценке Symantec вирус имеет низкий уровень угрозы^[2]. 25 октября серверы, обеспечивавшие начальное заражение Bad Rabbit, были остановлены^[3].

История

24 октября 2017 года, вирус шифровальщик атаковал ряд российских СМИ, включая ИА «Интерфакс» и интернет-газету «Фонтанка», а также киевское метро и аэропорт Одесса, требуя за разблокировку одного компьютера 0,05 биткойнов (около 16 тысяч рублей) в течение 48 часов^[4]^[5]^[6]. Также, в меньшей степени, атаке подверглись Турция и Германия^[7]^[8]. Восстановление работы сайта и компьютеров «Интерфакса» заняло более суток^[9]^[10]. Тогда же, в вирусе были найдены отсылки к фэнтази-саге «Игра престолов», а именно имена трех драконов — Дрогона, Рейгаля и Визериона^[11]^[12]^[13]^[14].

Метод атаки

Для первоначальной установки Вирус не использует каких-либо эксплойтов или уязвимостей: инсталлятор вируса, маскирующийся под установку обновления для Adobe Flash Player, должен быть скачан и запущен вручную пользователем, он запрашивает подтверждение повышения полномочий посредством UAC Windows^[15].

После установки приложение регистрируется в штатном механизме планирования заданий и начинает самостоятельное распространение по локальной сети через удаленные подключения SMB и WMIC при помощи перехвата токенов и паролей утилитой Mimikatz и перебора паролей NTLM на удаленных узлах Windows для ряда распространенных имен пользователей^[15]. По данным Cisco Talos, компонент распространения вируса дополнительно использует технологии и коды АНБ «EternalRomance», которые ранее были опубликованы группой Shadowbrokers (ошибка в кодах SMB, исправлена Microsoft в марте 2017)^[16]^[17].

Приложение производит шифрование файлов по алгоритмам AES-128-CBC и RSA-2048^[1].

В нарушение лицензии GPLv3 приложение Bad Rabbit пользуется кодами и драйвером из проекта DiskCryptor^[15]^[18]^[19], но при этом не публикует изменённых исходных кодов и не запрашивает у пользователя согласия на использование лицензии GPLv3.

Примечания

↑ ¹ ² Орхан Мамедов, Федор Синицын, Антон Иванов. Шифровальщик Bad Rabbit (неопр.). Лаборатория Касперского (25 октября 2017). Дата обращения: 27 октября 2017. Архивировано 27 октября 2017 года.
↑ Benjamin Moench Ransom.BadRabbit. Technical Details Архивная копия от 27 октября 2017 на Wayback Machine / Symantec Security Response
↑ Lorenzo Franceschi-Bicchierai (2017-10-25). "Infrastructure for the 'Bad Rabbit' Ransomware Appears to Have Shut Down" (англ.). Vice. Архивировано 26 октября 2017. Дата обращения: 27 октября 2017.
↑ Group-IB: вирус-шифровальщик Bad Rabbit атаковал российские СМИ (неопр.). ТАСС (24 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.
↑ Иван Гусев. Россию атаковал новый вирус-вымогатель "Плохой кролик" (неопр.). Life (24 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.
↑ Полина Духанова. «Не самые грамотные хакеры»: что стоит за кибератаками на российские СМИ (неопр.). RT (24 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.
↑ Алексей Шароглазов. Названы жертвы атаки вируса-шифровальщика Bad Rabbit (неопр.). Известия (24 октября 2017). Дата обращения: 26 октября 2017. Архивировано 25 октября 2017 года.
↑ Вирус-вымогатель атаковал жертв через сайты СМИ (неопр.). Вести.net (25 октября 2017). Дата обращения: 28 декабря 2017. Архивировано 27 декабря 2017 года.
↑ Кристина Жукова. Восстановлена работа пострадавших от вируса Bad Rabbit СМИ (неопр.). Коммерсантъ (25 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.
↑ 'Bad Rabbit' ransomware strikes Ukraine and Russia (англ.). BBC News (26 октября 2017). Дата обращения: 27 октября 2017. Архивировано 6 января 2021 года.
↑ Эксперты раскрыли связь между вирусом Bad Rabbit и «Игрой престолов» (неопр.). Лента.ру (25 октября 2017). Дата обращения: 26 октября 2017. Архивировано 9 июня 2021 года.
↑ Роман Босиков. Эксперты обнаружили связь между вирусом Bad Rabbit и "Игрой престолов" (неопр.). Life (25 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.
↑ В вирусе «Bad Rabbit», поразившем российские СМИ, эксперты нашли отсылки к «Игре престолов» (неопр.). Пятый канал (26 октября 2017). Дата обращения: 26 октября 2017.
↑ Вирус-шифровальщик Bad Rabbit создан фанатами «Игры престолов» (неопр.). CHIP (26 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.
↑ ¹ ² ³ Как работает шифровальщик Bad Rabbit, и есть ли здесь связь с NotPetya (неопр.). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.
↑ NICK BIASINI. Threat Spotlight: Follow the Bad Rabbit (англ.). Talos Intelligence (24 октября 2017). Дата обращения: 27 октября 2017. Архивировано 27 октября 2017 года.
↑ SEAN GALLAGHER (2017-10-26). "Bad Rabbit used NSA "EternalRomance" exploit to spread, researchers say" (англ.). ARS Technica. Архивировано 26 октября 2017. Дата обращения: 27 октября 2017.
↑ New wave of data-encrypting malware hits Russia and Ukraine Архивная копия от 26 октября 2017 на Wayback Machine (англ.)
↑ Kevin Beaumont в Твиттере: «#BadRabbit uses a legit, signed program called DiskCryptor to lock out the victim hard drive.… » (неопр.). Дата обращения: 26 октября 2017. Архивировано 1 декабря 2017 года.

[ЛК-1] ¹ ² Орхан Мамедов, Федор Синицын, Антон Иванов. Шифровальщик Bad Rabbit (неопр.). Лаборатория Касперского (25 октября 2017). Дата обращения: 27 октября 2017. Архивировано 27 октября 2017 года.

[2] Benjamin Moench Ransom.BadRabbit. Technical Details Архивная копия от 27 октября 2017 на Wayback Machine / Symantec Security Response

[3] Lorenzo Franceschi-Bicchierai (2017-10-25). "Infrastructure for the 'Bad Rabbit' Ransomware Appears to Have Shut Down" (англ.). Vice. Архивировано 26 октября 2017. Дата обращения: 27 октября 2017.

[4] Group-IB: вирус-шифровальщик Bad Rabbit атаковал российские СМИ (неопр.). ТАСС (24 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.

[5] Иван Гусев. Россию атаковал новый вирус-вымогатель "Плохой кролик" (неопр.). Life (24 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.

[6] Полина Духанова. «Не самые грамотные хакеры»: что стоит за кибератаками на российские СМИ (неопр.). RT (24 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.

[7] Алексей Шароглазов. Названы жертвы атаки вируса-шифровальщика Bad Rabbit (неопр.). Известия (24 октября 2017). Дата обращения: 26 октября 2017. Архивировано 25 октября 2017 года.

[8] Вирус-вымогатель атаковал жертв через сайты СМИ (неопр.). Вести.net (25 октября 2017). Дата обращения: 28 декабря 2017. Архивировано 27 декабря 2017 года.

[9] Кристина Жукова. Восстановлена работа пострадавших от вируса Bad Rabbit СМИ (неопр.). Коммерсантъ (25 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.

[10] 'Bad Rabbit' ransomware strikes Ukraine and Russia (англ.). BBC News (26 октября 2017). Дата обращения: 27 октября 2017. Архивировано 6 января 2021 года.

[11] Эксперты раскрыли связь между вирусом Bad Rabbit и «Игрой престолов» (неопр.). Лента.ру (25 октября 2017). Дата обращения: 26 октября 2017. Архивировано 9 июня 2021 года.

[12] Роман Босиков. Эксперты обнаружили связь между вирусом Bad Rabbit и "Игрой престолов" (неопр.). Life (25 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.

[13] В вирусе «Bad Rabbit», поразившем российские СМИ, эксперты нашли отсылки к «Игре престолов» (неопр.). Пятый канал (26 октября 2017). Дата обращения: 26 октября 2017.

[14] Вирус-шифровальщик Bad Rabbit создан фанатами «Игры престолов» (неопр.). CHIP (26 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.

[Х-15] ¹ ² ³ Как работает шифровальщик Bad Rabbit, и есть ли здесь связь с NotPetya (неопр.). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.

[16] NICK BIASINI. Threat Spotlight: Follow the Bad Rabbit (англ.). Talos Intelligence (24 октября 2017). Дата обращения: 27 октября 2017. Архивировано 27 октября 2017 года.

[17] SEAN GALLAGHER (2017-10-26). "Bad Rabbit used NSA "EternalRomance" exploit to spread, researchers say" (англ.). ARS Technica. Архивировано 26 октября 2017. Дата обращения: 27 октября 2017.

[18] New wave of data-encrypting malware hits Russia and Ukraine Архивная копия от 26 октября 2017 на Wayback Machine (англ.)

[19] Kevin Beaumont в Твиттере: «#BadRabbit uses a legit, signed program called DiskCryptor to lock out the victim hard drive.… » (неопр.). Дата обращения: 26 октября 2017. Архивировано 1 декабря 2017 года.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

@@ Строка 1: / Строка 1: @@
-{{значимость|2017-10-26}}<!--  [[ВП:НЕНОВОСТИ]] -->
+{{значимость|дата=2017-10-26}}<!-- [[ВП:НЕНОВОСТИ]] -->
 {{Вредоносная программа
-|name      = Bad Rabbit
+| name = Bad Rabbit
-|full_name =
+| full_name =
-|image     =
+| image =
-|caption   =
+| caption =
-|type      = [[Сетевой червь]], [[вирус-вымогатель]], [[эксплойт]]
+| type = [[Вирус-вымогатель]], [[сетевой червь]]
-|year      = [[24 октября]] [[2017 год|2017]]<br>(начало массовой атаки)
+| year = [[24 октября]] [[2017 год|2017]]<br>(начало массовой атаки)
-|target    =
+| target =
-|symantec_link  = https://www.symantec.com/security_response/writeup.jsp?docid=2017-102503-0423-99&tabid=2
+| symantec_link = https://www.symantec.com/security_response/writeup.jsp?docid=2017-102503-0423-99&tabid=2
-|securelist_link  = https://securelist.ru/bad-rabbit-ransomware/87771/
+| securelist_link = https://securelist.ru/bad-rabbit-ransomware/87771/
 }}
-'''Bad Rabbit''' ({{lang-ru|«Плохой кролик»}}) — [[Компьютерный вирус|вирус]] [[Вирус-вымогатель|шифровальщик]], разработанный для ОС семейства [[Windows]] и обнаруженный 24 октября 2017 года<ref name="ЛК">{{cite web |url=https://securelist.ru/bad-rabbit-ransomware/87771/ |title=Шифровальщик Bad Rabbit |author=Орхан Мамедов, Федор Синицын, Антон Иванов |date=2017-10-25 |website=[[Лаборатория Касперского]] |publisher= |accessdate=2017-10-27}}</ref>. По предположениям аналитиков, программа имеет сходство отдельных фрагментов с вирусом [[Petya|NotPetya]].
+'''Bad Rabbit''' ({{lang-ru|«Плохой кролик»}}) — [[Компьютерный вирус|вирус]]-[[Вирус-вымогатель|шифровальщик]], разработанный для ОС семейства [[Windows]] и обнаруженный 24 октября 2017 года<ref name="ЛК">{{cite web |url=https://securelist.ru/bad-rabbit-ransomware/87771/ |title=Шифровальщик Bad Rabbit |author=Орхан Мамедов, Федор Синицын, Антон Иванов |date=2017-10-25 |website=[[Лаборатория Касперского]] |publisher= |access-date=2017-10-27 |archive-date=2017-10-27 |archive-url=https://web.archive.org/web/20171027025512/https://securelist.ru/bad-rabbit-ransomware/87771/ |deadlink=no }}</ref>. По предположениям аналитиков, программа имеет сходство отдельных фрагментов с вирусом [[Petya|NotPetya]].
-По оценке Symantec, вирус имеет низкий уровень угрозы<ref>Benjamin Moench [https://www.symantec.com/security_response/writeup.jsp?docid=2017-102503-0423-99&tabid=2 Ransom.BadRabbit. Technical Details] / Symantec Security Response</ref>. 25 октября сервера, обеспечивавшие начальное заражение Bad Rabbit, были остановлены<ref>{{cite news|url=https://motherboard.vice.com/en_us/article/d3dp5q/infrastructure-for-the-bad-rabbit-ransomware-appears-to-have-shut-down|title=Infrastructure for the ‘Bad Rabbit’ Ransomware Appears to Have Shut Down|author=Lorenzo Franceschi-Bicchierai|date=Oct 25 2017|publisher=Vice|lang=en|accessdate=2017-10-27}}</ref>.
+По оценке Symantec вирус имеет низкий уровень угрозы<ref>Benjamin Moench [https://www.symantec.com/security_response/writeup.jsp?docid=2017-102503-0423-99&tabid=2 Ransom.BadRabbit. Technical Details] {{Wayback|url=https://www.symantec.com/security_response/writeup.jsp?docid=2017-102503-0423-99&tabid=2 |date=20171027181237 }} / Symantec Security Response</ref>. 25 октября серверы, обеспечивавшие начальное заражение Bad Rabbit, были остановлены<ref>{{cite news|url=https://motherboard.vice.com/en_us/article/d3dp5q/infrastructure-for-the-bad-rabbit-ransomware-appears-to-have-shut-down|title=Infrastructure for the ‘Bad Rabbit’ Ransomware Appears to Have Shut Down|author=Lorenzo Franceschi-Bicchierai|date=2017-10-25|publisher=Vice|lang=en|accessdate=2017-10-27|archivedate=2017-10-26|archiveurl=https://web.archive.org/web/20171026004933/https://motherboard.vice.com/en_us/article/d3dp5q/infrastructure-for-the-bad-rabbit-ransomware-appears-to-have-shut-down}}</ref>.
 == История ==
-октября 2017 года, вирус шифровальщик атаковал ряд российских [[СМИ]], включая ИА «[[Интерфакс]]» и интернет-газету «[[Фонтанка.ру|Фонтанка]]», а также [[киевское метро]] и [[аэропорт Одесса]], требуя за разблокировку одного компьютера 0,05 [[биткоин]]ов (около 16 тысяч рублей) в течении 48 часов<ref>{{cite web |url=http://tass.ru/ekonomika/4673723 |title=Group-IB: вирус-шифровальщик Bad Rabbit атаковал российские СМИ |author= |date=2017-10-24 |website= |publisher=[[ТАСС]] |accessdate=2017-10-26}}</ref><ref>{{cite web |url=https://life.ru/t/%D0%BD%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8/1054753/rossiiu_atakoval_novyi_virus-vymoghatiel_plokhoi_krolik |title=Россию атаковал новый вирус-вымогатель "Плохой кролик" |author=Иван Гусев |date=2017-10-24 |website= |publisher=[[Life (интернет-издание)|Life]] |accessdate=2017-10-26}}</ref><ref>{{cite web |url=https://russian.rt.com/ussr/article/442786-virus-hakery-ataka |title=«Не самые грамотные хакеры»: что стоит за кибератаками на российские СМИ |author=Полина Духанова |date=2017-10-24 |website= |publisher=[[RT]] |accessdate=2017-10-26}}</ref>. Также, в меньшей степени, атаке подверглись [[Турция]] и [[Германия]]<ref>{{cite web |url=https://iz.ru/662734/2017-10-24/group-ib-virus-bad-rabbit-atakoval-rossiiskie-smi |title=Названы жертвы атаки вируса-шифровальщика Bad Rabbit |author=Алексей Шароглазов |date=2017-10-24 |website= |publisher=[[Известия]] |accessdate=2017-10-26}}</ref>. Восстановление работы сайта и компьютеров «Интерфакса» заняло более суток<ref>{{cite web |url=https://www.kommersant.ru/doc/3449268 |title=Восстановлена работа пострадавших от вируса Bad Rabbit СМИ |author=Кристина Жукова |date=2017-10-25 |website= |publisher=[[Коммерсантъ]] |accessdate=2017-10-26}}</ref><ref>{{cite web |url=http://www.bbc.com/news/technology-41740768 |title='Bad Rabbit' ransomware strikes Ukraine and Russia |author= |date=2017-10-26 |website= |publisher=[[BBC News]] |accessdate=2017-10-27 |lang=en}}</ref>. Тогда же, в вирусе были найдены отсылки к фэнтази-саге «[[Игра престолов (телесериал)|Игра престолов]]», а именно имена трех драконов — Дрогона, Рейгаля и Визериона<ref>{{cite web |url=https://lenta.ru/news/2017/10/25/badrabbit/ |title=Эксперты раскрыли связь между вирусом Bad Rabbit и «Игрой престолов» |author= |date=2017-10-25 |website=[[Лента.ру]] |publisher= |accessdate=2017-10-26}}</ref><ref>{{cite web |url=https://life.ru/t/%D0%BD%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8/1055046/ekspierty_obnaruzhili_sviaz_miezhdu_virusom_bad_rabbit_i_ighroi_priestolov |title=Эксперты обнаружили связь между вирусом Bad Rabbit и "Игрой престолов" |author=Роман Босиков |date=2017-10-25 |website= |publisher=[[Life (интернет-издание)|Life]] |accessdate=2017-10-26}}</ref><ref>{{cite web |url=http://www.5-tv.ru/news/161795/ |title=В вирусе «Bad Rabbit», поразившем российские СМИ, эксперты нашли отсылки к «Игре престолов» |author= |date=2017-10-26 |website= |publisher=[[Пятый канал]] |accessdate=2017-10-26}}</ref><ref>{{cite web |url=http://ichip.ru/virus-shifrovalshhik-bad-rabbit-sozdan-fanatami-igry-prestolov.html |title=Вирус-шифровальщик Bad Rabbit создан фанатами «Игры престолов» |author= |date=2017-10-26 |website= |publisher=[[CHIP (Россия)|CHIP]] |accessdate=2017-10-26}}</ref>.
+октября 2017 года, вирус шифровальщик атаковал ряд российских [[СМИ]], включая ИА «[[Интерфакс]]» и интернет-газету «[[Фонтанка.ру|Фонтанка]]», а также [[киевское метро]] и [[аэропорт Одесса]], требуя за разблокировку одного компьютера 0,05 [[биткойн]]ов (около 16 тысяч рублей) в течение 48 часов<ref>{{cite web |url=http://tass.ru/ekonomika/4673723 |title=Group-IB: вирус-шифровальщик Bad Rabbit атаковал российские СМИ |author= |date=2017-10-24 |website= |publisher=[[ТАСС]] |access-date=2017-10-26 |archive-date=2017-10-26 |archive-url=https://web.archive.org/web/20171026180255/http://tass.ru/ekonomika/4673723 |deadlink=no }}</ref><ref>{{cite web |url=https://life.ru/t/новости/1054753/rossiiu_atakoval_novyi_virus-vymoghatiel_plokhoi_krolik |title=Россию атаковал новый вирус-вымогатель "Плохой кролик" |author=Иван Гусев |date=2017-10-24 |website= |publisher=[[Life (интернет-издание)|Life]] |access-date=2017-10-26 |archive-date=2017-10-26 |archive-url=https://web.archive.org/web/20171026163055/https://life.ru/t/%D0%BD%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8/1054753/rossiiu_atakoval_novyi_virus-vymoghatiel_plokhoi_krolik |deadlink=no }}</ref><ref>{{cite web |url=https://russian.rt.com/ussr/article/442786-virus-hakery-ataka |title=«Не самые грамотные хакеры»: что стоит за кибератаками на российские СМИ |author=Полина Духанова |date=2017-10-24 |website= |publisher=[[RT]] |access-date=2017-10-26 |archive-date=2017-10-26 |archive-url=https://web.archive.org/web/20171026111720/https://russian.rt.com/ussr/article/442786-virus-hakery-ataka |deadlink=no }}</ref>. Также, в меньшей степени, атаке подверглись [[Турция]] и [[Германия]]<ref>{{cite web |url=https://iz.ru/662734/2017-10-24/group-ib-virus-bad-rabbit-atakoval-rossiiskie-smi |title=Названы жертвы атаки вируса-шифровальщика Bad Rabbit |author=Алексей Шароглазов |date=2017-10-24 |website= |publisher=[[Известия]] |access-date=2017-10-26 |archive-date=2017-10-25 |archive-url=https://web.archive.org/web/20171025142917/https://iz.ru/662734/2017-10-24/group-ib-virus-bad-rabbit-atakoval-rossiiskie-smi |deadlink=no }}</ref><ref>{{cite web |url=http://hitech.vesti.ru/article/686616/ |title=Вирус-вымогатель атаковал жертв через сайты СМИ |author= |date=2017-10-25 |website= |publisher=[[Вести.net]] |access-date=2017-12-28 |archive-date=2017-12-27 |archive-url=https://web.archive.org/web/20171227042118/http://hitech.vesti.ru/article/686616/ |deadlink=no }}</ref>. Восстановление работы сайта и компьютеров «Интерфакса» заняло более суток<ref>{{cite web |url=https://www.kommersant.ru/doc/3449268 |title=Восстановлена работа пострадавших от вируса Bad Rabbit СМИ |author=Кристина Жукова |date=2017-10-25 |website= |publisher=[[Коммерсантъ]] |access-date=2017-10-26 |archive-date=2017-10-26 |archive-url=https://web.archive.org/web/20171026164508/https://www.kommersant.ru/doc/3449268 |deadlink=no }}</ref><ref>{{cite web |url=http://www.bbc.com/news/technology-41740768 |title='Bad Rabbit' ransomware strikes Ukraine and Russia |author= |date=2017-10-26 |website= |publisher=[[BBC News]] |access-date=2017-10-27 |lang=en |archive-date=2021-01-06 |archive-url=https://web.archive.org/web/20210106021046/https://www.bbc.com/news/technology-41740768 |deadlink=no }}</ref>. Тогда же, в вирусе были найдены отсылки к фэнтази-саге «[[Игра престолов (телесериал)|Игра престолов]]», а именно имена трех драконов — Дрогона, Рейгаля и Визериона<ref>{{cite web |url=https://lenta.ru/news/2017/10/25/badrabbit/ |title=Эксперты раскрыли связь между вирусом Bad Rabbit и «Игрой престолов» |author= |date=2017-10-25 |website=[[Лента.ру]] |publisher= |access-date=2017-10-26 |archive-date=2021-06-09 |archive-url=https://web.archive.org/web/20210609131040/https://lenta.ru/news/2017/10/25/badrabbit/ |deadlink=no }}</ref><ref>{{cite web |url=https://life.ru/t/новости/1055046/ekspierty_obnaruzhili_sviaz_miezhdu_virusom_bad_rabbit_i_ighroi_priestolov |title=Эксперты обнаружили связь между вирусом Bad Rabbit и "Игрой престолов" |author=Роман Босиков |date=2017-10-25 |website= |publisher=[[Life (интернет-издание)|Life]] |access-date=2017-10-26 |archive-date=2017-10-26 |archive-url=https://web.archive.org/web/20171026163409/https://life.ru/t/%D0%BD%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8/1055046/ekspierty_obnaruzhili_sviaz_miezhdu_virusom_bad_rabbit_i_ighroi_priestolov |deadlink=no }}</ref><ref>{{cite web |url=http://www.5-tv.ru/news/161795/ |title=В вирусе «Bad Rabbit», поразившем российские СМИ, эксперты нашли отсылки к «Игре престолов» |author= |date=2017-10-26 |website= |publisher=[[Пятый канал]] |access-date=2017-10-26}}</ref><ref>{{cite web |url=http://ichip.ru/virus-shifrovalshhik-bad-rabbit-sozdan-fanatami-igry-prestolov.html |title=Вирус-шифровальщик Bad Rabbit создан фанатами «Игры престолов» |author= |date=2017-10-26 |website= |publisher=[[CHIP (Россия)|CHIP]] |access-date=2017-10-26 |archive-date=2017-10-26 |archive-url=https://web.archive.org/web/20171026163835/http://ichip.ru/virus-shifrovalshhik-bad-rabbit-sozdan-fanatami-igry-prestolov.html |deadlink=no }}</ref>.
 == Метод атаки ==
-Для первоначальной установки Вирус не использует каких-либо эксплоитов или уязвимостей: инсталлятор вируса, маскирующийся под установку обновления для [[Adobe Flash Player]], должен быть скачан и запущен вручную пользователем, он запрашивает подтверждение повышения полномочий посредством [[Контроль учётных записей пользователей|UAC]] Windows<ref name="Х">[https://xakep.ru/2017/10/25/bad-rabbit-specs/ Как работает шифровальщик Bad Rabbit, и есть ли здесь связь с NotPetya]</ref>.
+Для первоначальной установки Вирус не использует каких-либо [[эксплойт]]ов или уязвимостей: инсталлятор вируса, маскирующийся под установку обновления для [[Adobe Flash Player]], должен быть скачан и запущен вручную пользователем, он запрашивает подтверждение повышения полномочий посредством [[Контроль учётных записей пользователей|UAC]] Windows<ref name="Х">{{Cite web |url=https://xakep.ru/2017/10/25/bad-rabbit-specs/ |title=Как работает шифровальщик Bad Rabbit, и есть ли здесь связь с NotPetya |access-date=2017-10-26 |archive-date=2017-10-26 |archive-url=https://web.archive.org/web/20171026214236/https://xakep.ru/2017/10/25/bad-rabbit-specs/ |deadlink=no }}</ref>.
-После установки приложение регистрируется в штатном механизме планирования заданий и начинает самостоятельное распространение по локальной сети через удаленные подключения SMB и WMIC при помощи перехвата токенов и паролей утилитой [[Mimikatz]]<!-- https://www.sans.org/reading-room/whitepapers/detection/mimikatz-overview-defenses-detection-36780--> и перебора паролей NTLM на удаленных узлах Windows для ряда распространенных имен пользователей<ref name="Х" />. По данным Cisco Talos, компонент распространения вируса дополнительно использует технологии и коды АНБ "EternalRomance", которые ранее были опубликованы группой [[The Shadow Brokers|Shadowbrokers]] (ошибка в кодах SMB, исправлена Microsoft в марте 2017)<ref>{{cite web|url=http://blog.talosintelligence.com/2017/10/bad-rabbit.html?m=1#more|title=Threat Spotlight: Follow the Bad Rabbit|author= NICK BIASINI |date= OCTOBER 24, 2017|publisher=Talos Intelligence|lang=en|accessdate=2017-10-27}}</ref><ref>{{cite news|url=https://arstechnica.com/information-technology/2017/10/bad-rabbit-used-nsa-eternalromance-exploit-to-spread-researchers-say/|title=Bad Rabbit used NSA “EternalRomance” exploit to spread, researchers say|author=SEAN GALLAGHER |date= OCT 26, 2017 |publisher=ARS Technica|lang=en|accessdate=2017-10-27}}</ref>.
+После установки приложение регистрируется в штатном механизме планирования заданий и начинает [[сетевой червь|самостоятельное распространение]] по локальной сети через удаленные подключения SMB и WMIC при помощи перехвата токенов и паролей утилитой [[Mimikatz]]<!-- https://www.sans.org/reading-room/whitepapers/detection/mimikatz-overview-defenses-detection-36780--> и перебора паролей NTLM на удаленных узлах Windows для ряда распространенных имен пользователей<ref name="Х" />. По данным Cisco Talos, компонент распространения вируса дополнительно использует технологии и коды [[Агентство национальной безопасности|АНБ]] «EternalRomance», которые ранее были опубликованы группой [[The Shadow Brokers|Shadowbrokers]] (ошибка в кодах [[Server Message Block|SMB]], исправлена [[Microsoft]] в марте 2017)<ref>{{cite web|url=http://blog.talosintelligence.com/2017/10/bad-rabbit.html?m=1#more|title=Threat Spotlight: Follow the Bad Rabbit|author=NICK BIASINI|date=2017-10-24|publisher=Talos Intelligence|lang=en|access-date=2017-10-27|archive-date=2017-10-27|archive-url=https://web.archive.org/web/20171027232531/http://blog.talosintelligence.com/2017/10/bad-rabbit.html?m=1#more|deadlink=no}}</ref><ref>{{cite news|url=https://arstechnica.com/information-technology/2017/10/bad-rabbit-used-nsa-eternalromance-exploit-to-spread-researchers-say/|title=Bad Rabbit used NSA “EternalRomance” exploit to spread, researchers say|author=SEAN GALLAGHER|date=2017-10-26|publisher=ARS Technica|lang=en|accessdate=2017-10-27|archivedate=2017-10-26|archiveurl=https://web.archive.org/web/20171026210147/https://arstechnica.com/information-technology/2017/10/bad-rabbit-used-nsa-eternalromance-exploit-to-spread-researchers-say/}}</ref>.
 Приложение производит шифрование файлов по алгоритмам [[Advanced Encryption Standard|AES-128-CBC]] и [[RSA|RSA-2048]]<ref name="ЛК" />.
-В нарушение лицензии [[GNU General Public License|GPLv3]] приложение Bad Rabbit пользуется кодами и драйвером из проекта [[DiskCryptor]]<ref name="Х" /><ref>[https://arstechnica.com/information-technology/2017/10/new-wave-of-data-encrypting-malware-crashes-through-russia-and-ukraine/ New wave of data-encrypting malware hits Russia and Ukraine]{{eng}}</ref><ref>https://twitter.com/GossiTheDog/status/922853877476724736</ref>, но при этом не публикует измененных исходных кодов и не запрашивает у пользователя согласия на использование лицензии GPLv3.
+В нарушение лицензии [[GNU General Public License|GPLv3]] приложение Bad Rabbit пользуется кодами и драйвером из проекта [[DiskCryptor]]<ref name="Х" /><ref>[https://arstechnica.com/information-technology/2017/10/new-wave-of-data-encrypting-malware-crashes-through-russia-and-ukraine/ New wave of data-encrypting malware hits Russia and Ukraine] {{Wayback|url=https://arstechnica.com/information-technology/2017/10/new-wave-of-data-encrypting-malware-crashes-through-russia-and-ukraine/ |date=20171026231936 }}{{ref-en}}</ref><ref>{{Cite web |url=https://twitter.com/GossiTheDog/status/922853877476724736 |title=Kevin Beaumont в Твиттере: «#BadRabbit uses a legit, signed program called DiskCryptor to lock out the victim hard drive.… »<!-- Заголовок добавлен ботом --> |access-date=2017-10-26 |archive-date=2017-12-01 |archive-url=https://web.archive.org/web/20171201184057/https://twitter.com/GossiTheDog/status/922853877476724736 |deadlink=no }}</ref>, но при этом не публикует изменённых исходных кодов и не запрашивает у пользователя согласия на использование лицензии GPLv3.
-== См. также ==
-* [[WannaCry]]
-* [[Petya]]
 == Примечания ==
-{{примечания|2}}
+{{примечания}}
+{{Хакерские атаки 2010-х}}
-{{Computer-Security-sci-stub}}
 [[Категория:Компьютерные вирусы и сетевые черви]]
 [[Категория:Вредоносное программное обеспечение]]
 [[Категория:Киберпреступность]]
-[[Категория:Microsoft Windows]]
 [[Категория:Октябрь 2017 года]]
-[[Категория:Мошенничество]]
+[[Категория:Программное обеспечение для Windows]]

Хакерские атаки 2010-х
Крупнейшие атаки	Кибератаки в Австралии (2010)^[англ.] Операция «Payback»^[англ.] DigiNotar^[англ.] Операция «Тунис»^[англ.] Взлом и отключение PlayStation Network Операция «AntiSec»^[англ.] Icefog Операция «Red October» Взлом электронной почты компании Stratfor^[англ.] Взлом LinkedIn (2012)^[англ.] Кибератака на Южную Корею (2013)^[англ.] Snapchat Операция Tovar^[англ.] Массовый взлом аккаунтов iCloud Взлом серверов Sony Pictures Entertainment Кибератака на Национальный комитет Демократической партии США Кибератака на Dyn Кибератака на Вестминстерский дворец Атака шифровальщика WannaCry Хакерские атаки на Украину (2017)
Группы и сообщества хакеров	Анонимный интернационал Анонимус Киберберкут Подразделение 121 Cozy Bear Derp^[англ.] Evil Corp Fancy Bear GNAA^[англ.] Goatse Security^[англ.] Lizard Squad^[англ.] LulzRaft^[англ.] LulzSec NullCrew^[англ.] Подразделение 61398 RedHack Сирийская электронная армия Электронная армия Йемена Электронная армия Ирана TeaMp0isoN^[англ.] Tailored Access Operations^[англ.] UGNazi^[англ.]
Хакеры-одиночки	Джереми Хаммонд Джордж Хоц Guccifer^[англ.] Guccifer 2.0^[англ.] Sabu^[англ.] Topiary^[англ.] The Jester^[англ.] weev^[англ.]
Обнаруженные критические уязвимости	Heartbleed (SSL, 2014) Bashdoor (Bash, 2014) POODLE (SSL, 2014) Rootpipe^[англ.] (OSX, 2014) JASBUG^[англ.] (Windows, 2015) Stagefright^[англ.] (Android, 2015) DROWN^[англ.] (TLS, 2016) Badlock (SMB/CIFS, 2016) Dirty COW (Linux, 2016) EternalBlue (SMBv1, 2017) DoublePulsar (2017) KRACK (2017) ROCA^[англ.] (2017) BlueBorne (2017) Meltdown (2018) Spectre (2018) BlueKeep (2019)
Компьютерные вирусы	Asprox Bad Rabbit BASHLITE Bredolab Carbanak Carberp Careto Carna Citadel CryptoLocker Cutwail Dexter Donbot Dridex Duqu EternalRocks FinFisher Flame Gameover ZeuS Gauss Grum Gumblar Kelihos Koobface Lethic Locky Madi Mahdi Mariposa Metulji Mirai Necurs NetTraveler Nitol Petya R2D2 Regin Rustock Shamoon SpyEye Stars Stuxnet TDL-4 Virut Vulcanbot WannaCry ZeroAccess Каталог ANT
2000-е 2010-е 2020-е

Bad Rabbit: различия между версиями

Текущая версия от 08:54, 15 октября 2023

История

Метод атаки

Примечания

Навигация

Поиск