Наименование угрозы: вирус-шифровальщик BadRabbit.

Возможные векторы атаки: установка фальшивого обновления ПО (Flash Player) со скомпрометированных легитимных веб-сайтов.

Уязвимые системы: ОС семейства Windows.

Масштаб распространения угрозы: Россия, Украина, США. Федеральные СМИ, транспортные компании, госкомпании.

Превентивные меры

  • Создать файл C:\windows\infpub.dat с правами «только для чтения»;
  • Обновить сигнатуры антивирусного ПО;
  • Сделать полную резервную копию критичных данных;
  • Заблокировать доступ к вредоносному сайту: http://1dnscontrol.com/;
  • Проинформировать пользователей АРМ в организации об угрозе заражения и предоставить перечень рекомендуемых действий;
  • Временно заблокировать прохождение трафика между сетевыми сегментами ЛВС по портам TCP 135, 445. Данная мера позволит снизить риск распространения вредоносного ПО BadRabbit внутри сети. Предварительно необходимо убедиться, что данная блокировка не нарушит бизнес-процессы организации;
  • Заблокировать исполнение следующих файлов:
    C:\windows\infpub.dat;
    C:\Windows\cscc.dat;
    C:\Windows\dispci.exe.

Рекомендации по факту заражения

Мы не рекомендуем выплачивать выкуп разработчикам ВПО. Восстановление данных после уплаты не гарантируется.

Рекомендации по факту заражения:

  • Отключить зараженную машину от локальной сети;
  • В случае отсутствия резервной копии сделать резервную копию зашифрованного диска (в случае появления утилита-дешифратора, есть вероятность восстановить данные);
  • В случае наличия резервной копии данных – в зависимости от корпоративной политики ИБ, произвести удаление вредоносного ПО средствам антивируса, либо полное восстановление ОС из корпоративного «золотого образа»;
  • Обновить базу данных сигнатур и выполнить полную антивирусную проверку рабочей станции/сервера.

Материалы по теме
  • Импортозамещение

    Несколько лет назад Правительством России был взят активный курс на импортозамещение. Для этого были созданы Правительственные комиссии по импортозамещению, начат процесс разработки пакета нормативных актов по поддержке отечественного производителя со стороны государства.

  • Рынок ИБ по итогам 2017 года: оценка «Информзащиты»

    Отчет «Оценка рынка ИБ за 2017 год» по результатам мониторинга информации о закупках, размещенных субъектами регулирования федеральных законов от 05.04.2013 № 44-ФЗ и от 18.07.2011 № 223-ФЗ в «Единой информационной системе закупок».

  • Рекомендации по нейтрализации угроз, связанных с уязвимостью СVE-2017-8759

    Уязвимость CVE-2017-8759 связана с удаленным выполнением кода с использованием документов Microsoft Office.