Решена - Вирус шифровальщик BadRabbit - методы защиты.

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем oleg, 27 окт 2017.

  1. oleg

    oleg Expert Вирусоборец

    В сети появилась новая (модифицированная) разновидность вируса шифровальщика WannaCry\Petya - под кодовым названием Bad Rabbit (Плохой Кролик).

    Заражение как правило происходило после того, как люди заходили на заведомо взломанные официальные сайты в сети интернет. Человек получал окошко с предложением обновить FlashPlayer.
    В случае соглашения на обновление, после нажатия по окну происходила загрузка и запуск зловредного вредоносного файла с именем install_flash_player.exe (MD5 хеш (FBBDC39AF1139AEBBA4DA004475E8839), а также происходило заражение самого хоста.
    По предварительным данным, шифрование производится с помощью DiskCryptor.
    После заражения вредоносное ПО повышало привилегии на вашем компьютере.
    Распространение по сети происходило через SMB — путем извлечения паролей из LSASS (Mimikatz) скомпрометированного компьютера, либо методом подбора по встроенному словарю.

    Mimikatz - программа, которая перехватывает на зараженном компьютере логины и пароли.

    Экстренные меры, которые нужно предпринять в случае заражения:

    Необходимо создать файл в директории C:\windows\infpub.dat и задать файлу права «только для чтения». После этого даже в случае заражения файлы не будут зашифрованы!

    Как предотвратить заражение вирусом шифровальщиком Bad Rabbit:

    1) Для устранения основных уязвимостей, которые эксплуатируются шифровальщиками, необходимо в первую очередь установить следующие обновления безопасности:
    https://technet.microsoft.com/en-us/library/security/ms17-010.aspx (заплатки от WannaCry,Petya)
    https://technet.microsoft.com/library/security/2871997 (для защиты от перехвата паролей в памяти сервера)
    2) Запретить любые соединения до IP-адресов и доменных имен источников заражения.
    3) Запретить удаленный вход в систему (RDP, SMB, RPC) локальным администраторам.
    Желательно оставить только тип входа 2 (интерактивный): https://technet.microsoft.com/ru-ru/library/cc787567(v=ws.10).aspx
    4) Добавить в реестр на все ваши компьютеры под управлением ОС от Windows 7 до 2008R2 следующий параметр:
    HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SecurityProviders/WDiges t/UseLogonCredential=0.
    Данный параметр запрещает хранение паролей в оперативной памяти в открытом виде (используется вредоносным ПО Mimikatz)
    5) Настройте в браузерах блокировку всплывающих окон.
     

Поделиться этой страницей