Наименование угрозы: вирус-шифровальщик BadRabbit.

Возможные векторы атаки: установка фальшивого обновления ПО (Flash Player) со скомпрометированных легитимных веб-сайтов.

Уязвимые системы: ОС семейства Windows.

Масштаб распространения угрозы: Россия, Украина, США. Федеральные СМИ, транспортные компании, госкомпании.

Превентивные меры

  • Создать файл C:\windows\infpub.dat с правами «только для чтения»;
  • Обновить сигнатуры антивирусного ПО;
  • Сделать полную резервную копию критичных данных;
  • Заблокировать доступ к вредоносному сайту: http://1dnscontrol.com/;
  • Проинформировать пользователей АРМ в организации об угрозе заражения и предоставить перечень рекомендуемых действий;
  • Временно заблокировать прохождение трафика между сетевыми сегментами ЛВС по портам TCP 135, 445. Данная мера позволит снизить риск распространения вредоносного ПО BadRabbit внутри сети. Предварительно необходимо убедиться, что данная блокировка не нарушит бизнес-процессы организации;
  • Заблокировать исполнение следующих файлов:
    C:\windows\infpub.dat;
    C:\Windows\cscc.dat;
    C:\Windows\dispci.exe.

Рекомендации по факту заражения

Мы не рекомендуем выплачивать выкуп разработчикам ВПО. Восстановление данных после уплаты не гарантируется.

Рекомендации по факту заражения:

  • Отключить зараженную машину от локальной сети;
  • В случае отсутствия резервной копии сделать резервную копию зашифрованного диска (в случае появления утилита-дешифратора, есть вероятность восстановить данные);
  • В случае наличия резервной копии данных – в зависимости от корпоративной политики ИБ, произвести удаление вредоносного ПО средствам антивируса, либо полное восстановление ОС из корпоративного «золотого образа»;
  • Обновить базу данных сигнатур и выполнить полную антивирусную проверку рабочей станции/сервера.

Материалы по теме
  • Нормативные акты

    Список нормативных актов действующих в сфере импортозамещения ПО

  • Безопасность веб-приложений интернет-магазинов

    Крупные распродажи и предпразничная покупательская активность время, когда нужно быть очень внимательными. Киберпреступники в этот период особо активизируются и помимо создания сайтов-клонов и активной фишинговой рассылки практикуют проникновения на площадки интернет-магазинов.

  • Импортозамещение

    Несколько лет назад Правительством России был взят активный курс на импортозамещение. Для этого были созданы Правительственные комиссии по импортозамещению, начат процесс разработки пакета нормативных актов по поддержке отечественного производителя со стороны государства.