Вирус-шифровальщик, пытавшийся атаковать российские банки и поразивший компьютеры ряда украинских организаций и российских СМИ, называется BadRabbit. Специалисты компании «Group-IB», проанализировавшие его, отметили, что новый «вымогатель» — не что иное, как улучшенная версия старого доброго «Пети», бушевавшего весной прошлого года. Специалистам по кибербезопасности удалось отследить доменное имя, с которого начал распространяться вирус. Есть вероятность, что злоумышленников удастся отследить.
«Расследование показало, что раздача вредоносного ПО проводилась с ресурса 1dnscontrol.com. Доменное имя 1dnscontrol.com имеет IP 5.61.37.209», — говорится в сообщении, распространяемом «Group-IB».
Сотрудники «Group-IB» поясняют, что BadRabbit — улучшенная и модифицированная версия вируса «NotPetya», в коде которого исправлены алгоритмы шифрования и имеется целый ряд нововведений. Тем не менее код нового вируса имеет куски кода, полностью аналогичные тем, что были найдены в «NotPetya» ранее.
Генеральный директор компании «Group-IB» Илья Сачков в эфире радио Sputnik рассказал, что имеющаяся зацепка позволит найти злоумышленников, но не исключает, что подобные атаки могут повторяться и в будущем. Дело в том, что инструментарий для создания аналогичных вирусов находится в свободном доступе, а это значит, что заниматься его совершенствованием и внедрением может практически кто угодно.
Проникнув на компьютер, вирус-вымогатель шифрует все находящиеся на жёстком диске данные, блокирует доступ пользователя к ПК и начинает вымогать вознаграждение за разблокировку в размере 0,05 биткоина (около 300 долларов по текущему курсу).
«Есть большая вероятность понять, откуда идут физические руки-ноги этой атаки. Можно установить, кто совершил атаку. Доменное имя было зарегистрировано еще в 2016 году, кто-то его оплачивает, с ним связано еще несколько вредоносных доменов. Люди, которые их создавали, действовали еще с 2011 года. То есть, на наш взгляд, довольно понятная преступная группа. Не факт, что именно она связана с этой атакой, но она занималась, в том числе, спамом и фишингом. В отличие от предыдущих атак, мы уже имеем некий человеческий след и логику, что позволит правоохранительным органам провести оперативно-розыскные мероприятия и задержать тех, кто это сделал», — цитирует РИА «Новости» Илью Сачкова.
Среди первых пострадавших от нового вируса-шифровальщика оказались киевский метрополитен, одесский аэропорт и ряд российских СМИ, в том числе «Интерфакс» и «Фонтанка».
Нет комментарий