Наименование угрозы: вирус-шифровальщик BadRabbit.

Возможные векторы атаки: установка фальшивого обновления ПО (Flash Player) со скомпрометированных легитимных веб-сайтов.

Уязвимые системы: ОС семейства Windows.

Масштаб распространения угрозы: Россия, Украина, США. Федеральные СМИ, транспортные компании, госкомпании.

Превентивные меры

  • Создать файл C:\windows\infpub.dat с правами «только для чтения»;
  • Обновить сигнатуры антивирусного ПО;
  • Сделать полную резервную копию критичных данных;
  • Заблокировать доступ к вредоносному сайту: http://1dnscontrol.com/;
  • Проинформировать пользователей АРМ в организации об угрозе заражения и предоставить перечень рекомендуемых действий;
  • Временно заблокировать прохождение трафика между сетевыми сегментами ЛВС по портам TCP 135, 445. Данная мера позволит снизить риск распространения вредоносного ПО BadRabbit внутри сети. Предварительно необходимо убедиться, что данная блокировка не нарушит бизнес-процессы организации;
  • Заблокировать исполнение следующих файлов:
    C:\windows\infpub.dat;
    C:\Windows\cscc.dat;
    C:\Windows\dispci.exe.

Рекомендации по факту заражения

Мы не рекомендуем выплачивать выкуп разработчикам ВПО. Восстановление данных после уплаты не гарантируется.

Рекомендации по факту заражения:

  • Отключить зараженную машину от локальной сети;
  • В случае отсутствия резервной копии сделать резервную копию зашифрованного диска (в случае появления утилита-дешифратора, есть вероятность восстановить данные);
  • В случае наличия резервной копии данных – в зависимости от корпоративной политики ИБ, произвести удаление вредоносного ПО средствам антивируса, либо полное восстановление ОС из корпоративного «золотого образа»;
  • Обновить базу данных сигнатур и выполнить полную антивирусную проверку рабочей станции/сервера.

Материалы по теме
  • Киберриски для детей в интернете. Как с ними бороться?

    Первое, что нужно сделать, предоставив компьютер и вход в интернет для самостоятельного пользования ребенку, - это установить родительский контроль и настроить безопасный поиск. Но даже это на 100% не устраняет возможность встречи юного пользователя с нежелательным контентом.

  • Истории из практики…Удаленный доступ

    Как правило, в рамках проведения своих проектов, мы встречаем удаленные подключения к внутренним ресурсам, организованные через VPN, использования Remote Desktop Gateway (RDP) или решение класса VDI (например, Ctirix XenApps).

  • Комплексный подход к организации удаленного доступа

    В современном мире недостаточно просто настроить VPN для удаленного подключения сотрудника к ресурсам компании.