ESET представил анализ шифратора Diskcoder.D (Bad Rabbit)

ESET представил анализ шифратора Diskcoder.D (Bad Rabbit)

ESET представил анализ шифратора Diskcoder.D (Bad Rabbit)

Вирусная лаборатория ESET исследовала схему распространения шифратора Win32/Diskcoder.D (Bad Rabbit). Злоумышленники, стоящие за кибератакой 24 октября, использовали скомпрометированные сайты, популярные в России и некоторых других странах, затронутых эпидемией.

По данным ESET, Win32/Diskcoder.D – модифицированная версия Win32/Diskcoder.C, более известного как Petya/NotPetya. В новой вредоносной программе исправлены ошибки в шифровании файлов. Теперь шифрование осуществляется с помощью DiskCryptor – легитимного ПО с открытым исходным кодом, предназначенного для шифрования логических дисков, внешних USB-накопителей и образов CD/DVD, а также загрузочных системных разделов диска. 

Ключи генерируются с использованием CryptGenRandom и защищены жестко закодированным открытым ключом RSA 2048. Файлы зашифрованы с расширением .encrypted. Как и прежде, используется алгоритм AES-128-CBC.

Для распространения Diskcoder.D злоумышленники скомпрометировали популярные сайты, внедрив в них вредоносный JavaScript. Среди скомпрометированных площадок – сайты «Фонтанки», «Новой газеты в Санкт-Петербурге» и «Аргументов недели». 

Атаке шифратора Diskcoder.D подверглись российские СМИ, а также транспортные компании и государственные учреждения Украины. Статистика атак в значительной степени соответствует географическому распределению сайтов, содержащих вредоносный JavaScript.

 

 

Когда пользователь заходит на зараженный сайт, вредоносный код передает информацию о нем на удаленный С&С-сервер. Далее логика на стороне сервера может определить, представляет ли посетитель сайта интерес, и при необходимости добавляет на страницу новый контент. В ESET наблюдали, как на скомпрометированном сайте появляется всплывающее окно с предложением загрузить обновление для Flash Player. В настоящее время связь вредоносной программы с удаленным сервером отсутствует. 

Нажав на кнопку «Install/Установить», пользователь инициирует загрузку исполняемого файла, который в свою очередь запускает в системе шифратор Win32/Filecoder.D. Далее файлы жертвы будут зашифрованы, и на экране появится требование выкупа в размере 0,05 биткоина (около 17 000 рублей). 

Заразив рабочую станцию в организации, шифратор может распространяться внутри корпоративной сети через протокол SMB. В отличие от своего предшественника Petya/NotPetya, Bad Rabbit не использует эксплойт EthernalBlue – вместо этого он сканирует сеть на предмет открытых сетевых ресурсов. На зараженной машине запускается инструмент Mimikatz для сбора учетных данных. Предусмотрен жестко закодированный список логинов и паролей. 

Google пустит чужие магазины Android-приложений прямо в Play Store

Google готовится открыть Google Play для конкурирующих магазинов приложений. С 22 июля сторонние каталоги смогут распространяться прямо через официальный магазин Android. Так решил суд по итогам многолетней тяжбы с Epic Games.

Всё началось ещё в 2020 году с Fortnite и комиссии в 30%. Epic добавила прямую покупку V-Bucks в обход правил Google и Apple, после чего игру удалили из магазинов.

Судебная война затянулась на годы, но именно Google в итоге получила самый болезненный набор ограничений.

Суд признал (PDF), что компания мешала производителям устройств продвигать и предустанавливать альтернативные магазины, тем самым укрепляя монополию Google Play. Поэтому одним из главных требований стало размещение конкурирующих площадок внутри самого Play Store.

 

Google и Epic пытались заменить эту меру более мягкой схемой Registered App Stores, при которой пользователи всё равно должны были самостоятельно скачивать чужие магазины. Однако суд усомнился, что это реально поможет конкурентам. В итоге компании отозвали просьбу изменить предписание.

Одобренные магазины получат доступ к каталогу приложений Google Play по умолчанию. Разработчики смогут запретить распространение своих программ через отдельные площадки.

За проверку каждого магазина Google будет брать $5000 в год. Участники программы должны блокировать вредоносные приложения, соблюдать авторские права и поддерживать обновление и удаление приложений. Если доля подозрительных установок превысит 1%, магазин могут выставить за дверь.

Пока нововведение, вероятно, затронет только США. Но для Android это всё равно серьёзный поворот: Google Play впервые придётся не просто терпеть конкурентов, а самой раздавать их пользователям.

RSS: Новости на портале Anti-Malware.ru