Сайты крупнейших российских СМИ оказались жертвами нового вируса-шифровальщика. Под удар троянца попали информагентство "Интерфакс", "Фонтанка", а также ряд госучреждений и стратегических объектов на Украине, включая метрополитен Киева и международный аэропорт Одессы. Об этом сообщается в Telegram-канале компании Group-IB, которая специализируется на предотвращении киберпреступлений.
Эксперты окрестили новую "заразу" Bad Rabbit. Поразив компьютер, она шифрует файлы пользователя, делая их недоступными для чтения, а на экране показывается сообщение с требованием немедленно перечислить 0,05 биткоина (по текущему курсу — около 16 200 рублей), чтобы получить пароль для разблокировки, а также onion-ссылка на сайт, размещенный в "теневом" Интернете (такие ресурсы крайне тяжело отследить, т.к. в даркнете их истинные IP-адреса маскируются). По ссылке отображается таймер с обратным отчетом, по истечении которого сумма выкупа будет увеличена.
Судя по всему, Bad Rabbit является разновидностью вымогателей WanaCrypt0r 2.0 (WCry) и Petya. В мае—июне этого года их жертвами стали сотни тысяч компьютеров, включая сети "Башнефти", Mars, Nivea, правительственные компьютеры Украины, магазины "Ашан" и украинские операторы, включая "Киевстар" и LifeCel. Оба троянца следовали одинаковой схеме, требуя те же 0,05 биткоина за возврат доступа к файлам.
#ESET confirms Discoder/#Petya/#BadRabbit campaign live today, incorporating #Mimikatz distribuded via fake flash. More info soon. pic.twitter.com/lUpkmdG2ox
— Jiri Kropac (@jiriatvirlab) 24 октября 2017 г.
"Сейчас началось то о чем мы предупреждали – новая волна шифровальщика Badrabbit атакующего российские СМИ. Group-IB достоверно известно о трех успешных атаках сегодня, — написал в Facebook основатель Group-IB Илья Сачков. — Судя по экранам компьютеров не похоже на петю или wannacry. Но это лишь картинка. Часть компьютеров уже у нас на экспертизе. Технические детали в режиме реального времени будем сообщать".
Как написал в Twitter эксперт антивирусной компании ESET Иржи Кропак, Bad Rabbit распространяется через фальшивый файл обновлений мультимедийного плагина Adobe Flash.
