Эксперты раскрыли связь между вирусом Bad Rabbit и Игрой престолов

Эксперты раскрыли связь между вирусом Bad Rabbit и Игрой престолов

В коде вируса-шифровальщика Bad Rabbit, вызвавшего перебои в работе некоторых российских СМИ, найдены отсылки к телесаге «Игра престолов». Об этом cообщает BBC News.

Хотя источник заражения неизвестен, этот факт делает его более схожим с шифровальщиком Locky, чем со знаменитым вымогателем NotPetya, как считалось ранее, пишет lenta.ru.

Спустя сутки после атак на сайты «Интерфакса» и «Фонтанки» стало известно, что в коде Bad Rabbit оказались зашифрованы имена трех драконов — Drogon, Rhaegal, Viserion, — так же как это было в составе одного из скриптов, использовавшегося для распространения вируса Locky.

В остальном механизм действия Bad Rabbit стандартен для вымогателя поколения Wanna Cry и NotPetya. Зловред зашифровывает пользовательские файлы, перезагружает компьютер и показывает сообщение с требованием выкупа в размере 0,05 биткоина. При этом он не уничтожает данные на жестких дисках жертв.

Кроме того, специалисты по безопасности из ESET и «Лаборатории Касперского» установили, что вредоносное ПО распространялось под видом обновлений для Adobe Flash и устанавливалось пользователями вручную.

Несмотря на то что массовое заражение компьютеров вредоносом Bad Rabbit удалось остановить, специалисты по кибербезопасности рекомендуют пользователям Windows перестраховаться, заблокировав исполнение файлов c:\windows\infpub.dat и C:\Windows\cscc.dat и запретив использование сервиса WMI.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

PyPI приостановил регистрацию новых пользователей из-за вредоноса

Популярный репозиторий Python Package Index (PyPI) ограничил возможность регистрации новых пользователей после масштабной вредоносной кампании по распространению трояна, похищающего данные.

PyPI — одно из первых мест, куда идут разработчики на Python, пытаясь найти нужные пакеты. Из-за популярности репозиторий не раз становился объектом внимания киберпреступников.

Именно такую кампанию злоумышленники запустили на днях, из-за чего администраторам PyPI пришлось приостановить регистрацию новых пользователей на площадке.

 

О кибероперации также написали исследователи из Checkmarx. По их словам, атакующие сразу начали с загрузки 365 пакетов, чьи имена были замаскированы под легитимные проекты.

Все злонамеренные пакеты включали вредоносный код в файле «setup.py», который выполнялся в процессе установки. Этот код пытается получить дополнительный пейлоад с удалённого сервера.

Для ухода от детектирования вредонос зашифрован с помощь модуля Fernet, а URL командного центра собирается динамически при необходимости.

Конечный пейлоад представляет собой троян, ворующий данные пользователей, сохранённые в браузерах: логины и пароли, cookies и крипторасширения.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru