C:\windows\infpub.dat: как защититься от "Плохого кролика"

Эксперты по кибербезопасности из компании Group-IB обнаружили способ предотвратить шифрование данных и блокировку компьютера вирусом BadRabbit, накануне атаковавшим компьютерные системы Киевского метрополитена, Одесского аэропорта, а также российских СМИ — "Интерфакса" и "Фонтанки".

Эксперты по кибербезопасности из компании Group-IB обнаружили способ предотвратить шифрование данных и блокировку компьютера вирусом BadRabbit, накануне атаковавшим компьютерные системы Киевского метрополитена, Одесского аэропорта, а также российских СМИ — "Интерфакса" и "Фонтанки".

Чтобы компьютер с Windows не пострадал от вируса даже в случае заражения, необходимо заранее создать файл C:\windows\infpub.dat и задать для него права доступа "только для чтения". "После этого даже в случае заражения файлы не будут зашифрованы", — говорится в сообщении Group-IB. Создать такой файл можно, например, в программе "Блокнот", а выставить ему права "только для чтения" — открыв "Свойства" файла в "Проводнике".

Кроме того, специалисты по кибербезопасности порекомендовали системным администраторам как можно скорее изолировать зараженные компьютеры от других машин в локальных сетях, а также проверить резервные копии ключевых сетевых узлов на актуальность и целостность.

Затем администраторам компьютерных сетей посоветовали заблокировать ip-адреса и доменные имена, с которых происходило распространение вредоносных файлов. Необходимо также обновить операционные системы и антивирусы ПО (особенно их базы вредоносного ПО) до самой последней версии.

По данным экспертов Group-IB, код вируса частично совпадает с NotPetya, атаковавшим в июне энергетические, телекоммуникационные и финансовые компании, так что две эпидемии, вероятно, связаны. Однако заражение в ходе вчерашней атаки шло через взломанные для этого злоумышленниками сайты СМИ — http://www.fontanka.ru/, http://argumenti.ru и http://argumentiru.com.

Посетителям сайта выводилось фальшивое окно с предложением обновить Adobe Flash плеер. Получив согласие, вредоносный скрипт скачивал и запускал файл с именем install_flash_player.exe, заражал хост и шифровал содержимое диска при помощи DiskCryptor. После этого вредоносное ПО начинало распространяться по локальной сети через SMB, извлекая пароли из LSASS (Mimikatz) скомпрометированного компьютера или подбирая их по встроенному словарю.

Киберпреступники требуют за разблокировку каждого компьютера, данные на котором зашифрованы "зловредом", 0,05 биткоина (около 283 долларов по текущему курсу криптовалюты).