Bezpieczeństwo w sieci

Nowy, niebezpieczny ransomware atakuje komputery. Poznajcie Bad Rabbit

Jakub Szczęsny
Nowy, niebezpieczny ransomware atakuje komputery. Poznajcie Bad Rabbit
31

Zagrożenie Petya nauczyło nas, że zasadniczo nikt nie jest bezpieczny, nawet jeżeli na bieżąco aktualizuje swój komputer. Po raz kolejny mamy do czynienia z niezwykle złośliwym wirusem komputerowym i znowu okazuje się, że źródłem są kraje wschodniej Europy. I co więcej, udało mu się sparaliżować newralgiczne infrastruktury w wielu miastach.

W momencie, w którym piszemy ten tekst wiadomo o infekcjach w takich krajach jak Rosja, Bułgaria oraz Turcja. W Odessie na Ukrainie sparaliżowano lotnisko, natomiast w Kijowie istnieją trudności z działaniem miejskiego systemu metra. Eksperci wskazują na sporo podobieństw między Bad Rabbit, a Petya oraz WannaCry, które w ostatnim roku ze sporym rozgłosem przetoczyły się przed świat powodując ogromne straty - szczególnie w kontekście niedostępności pewnych usług lub zaburzenia działania ośrodków przemysłowych. Co bardzo niepokoi, Bad Rabbit rozprzestrzenia się niezwykle szybko - szacuje się, że w porównaniu do wcześniejszych głośnych ransomware jest to tempo porównywalne.

W momencie, w którym piszemy ten tekst wiadomo o infekcjach w takich krajach jak Rosja, Bułgaria oraz Turcja. W Odessie na Ukrainie sparaliżowano lotnisko, natomiast w Kijowie istnieją trudności z działaniem miejskiego systemu metra. Eksperci wskazują na sporo podobieństw między Bad Rabbit, a Petya oraz WannaCry, które w ostatnim roku ze sporym rozgłosem przetoczyły się przed świat powodując ogromne straty - szczególnie w kontekście niedostępności pewnych usług lub zaburzenia działania ośrodków przemysłowych. Co bardzo niepokoi, Bad Rabbit rozprzestrzenia się niezwykle szybko - szacuje się, że w porównaniu do wcześniejszych głośnych ransomware jest to tempo porównywalne.

Jak rozprzestrzenia się Bad Rabbit?

Jeżeli chodzi o przenoszenie się między komputerami działającymi w różnych sieciach, zagrożenie prawdopodobnie wykorzystuje fałszywe aktualizacje dla Flasha i to właśnie tę metodę wskazuje się jako początkową dla Bad Rabbit. Wiadomo natomiast, że ransomware dysponuje narzędziami, które pozwalają mu na rozprzestrzenianie się wewnątrz sieci lokalnych, co powoduje ogromne straty, o ile administratorzy nie zabezpieczyli się odpowiednio przed takimi zagrożeniami.

Co dzieje się, gdy Bad Rabbit wkroczy do komputera?

Kidy Bad Rabbit dostanie się do komputera, oczywiście spróbuje przenieść się również na urządzenia w sieci lokalnej. Gdy to już zostanie ukończone, dane użytkownika są szyfrowane i ostatecznie, zamieniany jest Master Boot Record. Po tym urządzenie jest uruchamiane i wyświetla się monit o zaszyfrowaniu danych i żądaniu zapłaty za odblokowanie danych.

Co w sytuacji, gdy komputer został zainfekowany?

Przynajmniej na razie nie ma żadnego sposobu na odratowanie zaszyfrowanych danych przez Bad Rabbita. Nie znaleziono dotychczas żadnych błędów, które pozwoliłyby na odwrócenie tego procesu, dlatego warto robić kopie zapasowe i oczywiście, dbać o zabezpieczenia komputerów. Najprawdopodobniej, najnowsze, aktualizowane wersje Windows (7, 8.1 oraz 10) nie są podatne na Bad Rabbita z powodu łatek, które zostały zastosowane tuż po ujawnieniu się Petya oraz WannaCrypt. Jednak ci, którzy w dalszym ciągu korzystają z niezabezpieczonych urządzeń powinni się obawiać i jeżeli mogą zaktualizować aktualizacje, powinni się w nie zaopatrzyć jak najszybciej. Nawet, jeżeli zarażenie nie nastąpi poprzez fałszywą aktualizację dla Flasha, to niewykluczone, że inne zarażone urządzenie w sieci nie rozpropaguje wirusa na całą sieć lokalną dzięki podobnemu mechanizmowi jak w Petya.

Czy Bad Rabbit może spowodować takie same szkody jak WannaCrypt, czy Petya?

Biorąc pod uwagę fakt, że wykorzystuje się w nim podobne mechanizmy jak we wspomnianych wcześniej ransomware, jest to na szczęście bardzo mało prawdopodobne. Problem obecnie dotyczy jedynie bardzo słabo zabezpieczonych infrastruktur na wschodzie i raczej nie nastąpi rozpropagowanie tego zagrożenia do takiego stopnia, jak to miało miejsce w przypadku Petya, czy WannaCrypt.

Jak rozprzestrzenia się Bad Rabbit?

Jeżeli chodzi o przenoszenie się między komputerami działającymi w różnych sieciach, zagrożenie prawdopodobnie wykorzystuje fałszywe aktualizacje dla Flasha i to właśnie tę metodę wskazuje się jako początkową dla Bad Rabbit. Wiadomo natomiast, że ransomware dysponuje narzędziami, które pozwalają mu na rozprzestrzenianie się wewnątrz sieci lokalnych, co powoduje ogromne straty, o ile administratorzy nie zabezpieczyli się odpowiednio przed takimi zagrożeniami.

Co dzieje się, gdy Bad Rabbit wkroczy do komputera?

Kidy Bad Rabbit dostanie się do komputera, oczywiście spróbuje przenieść się również na urządzenia w sieci lokalnej. Gdy to już zostanie ukończone, dane użytkownika są szyfrowane i ostatecznie, zamieniany jest Master Boot Record. Po tym urządzenie jest uruchamiane i wyświetla się monit o zaszyfrowaniu danych i żądaniu zapłaty za odblokowanie danych.

Co w sytuacji, gdy komputer został zainfekowany?

Przynajmniej na razie nie ma żadnego sposobu na odratowanie zaszyfrowanych danych przez Bad Rabbita. Nie znaleziono dotychczas żadnych błędów, które pozwoliłyby na odwrócenie tego procesu, dlatego warto robić kopie zapasowe i oczywiście, dbać o zabezpieczenia komputerów. Najprawdopodobniej, najnowsze, aktualizowane wersje Windows (7, 8.1 oraz 10) nie są podatne na Bad Rabbita z powodu łatek, które zostały zastosowane tuż po ujawnieniu się Petya oraz WannaCrypt. Jednak ci, którzy w dalszym ciągu korzystają z niezabezpieczonych urządzeń powinni się obawiać i jeżeli mogą zaktualizować aktualizacje, powinni się w nie zaopatrzyć jak najszybciej. Nawet, jeżeli zarażenie nie nastąpi poprzez fałszywą aktualizację dla Flasha, to niewykluczone, że inne zarażone urządzenie w sieci nie rozpropaguje wirusa na całą sieć lokalną dzięki podobnemu mechanizmowi jak w Petya.

Czy Bad Rabbit może spowodować takie same szkody jak WannaCrypt, czy Petya?

Biorąc pod uwagę fakt, że wykorzystuje się w nim podobne mechanizmy jak we wspomnianych wcześniej ransomware, jest to na szczęście bardzo mało prawdopodobne. Problem obecnie dotyczy jedynie bardzo słabo zabezpieczonych infrastruktur na wschodzie i raczej nie nastąpi rozpropagowanie tego zagrożenia do takiego stopnia, jak to miało miejsce w przypadku Petya, czy WannaCrypt.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu