Наименование угрозы: вирус-шифровальщик BadRabbit.

Возможные векторы атаки: установка фальшивого обновления ПО (Flash Player) со скомпрометированных легитимных веб-сайтов.

Уязвимые системы: ОС семейства Windows.

Масштаб распространения угрозы: Россия, Украина, США. Федеральные СМИ, транспортные компании, госкомпании.

Превентивные меры

  • Создать файл C:\windows\infpub.dat с правами «только для чтения»;
  • Обновить сигнатуры антивирусного ПО;
  • Сделать полную резервную копию критичных данных;
  • Заблокировать доступ к вредоносному сайту: http://1dnscontrol.com/;
  • Проинформировать пользователей АРМ в организации об угрозе заражения и предоставить перечень рекомендуемых действий;
  • Временно заблокировать прохождение трафика между сетевыми сегментами ЛВС по портам TCP 135, 445. Данная мера позволит снизить риск распространения вредоносного ПО BadRabbit внутри сети. Предварительно необходимо убедиться, что данная блокировка не нарушит бизнес-процессы организации;
  • Заблокировать исполнение следующих файлов:
    C:\windows\infpub.dat;
    C:\Windows\cscc.dat;
    C:\Windows\dispci.exe.

Рекомендации по факту заражения

Мы не рекомендуем выплачивать выкуп разработчикам ВПО. Восстановление данных после уплаты не гарантируется.

Рекомендации по факту заражения:

  • Отключить зараженную машину от локальной сети;
  • В случае отсутствия резервной копии сделать резервную копию зашифрованного диска (в случае появления утилита-дешифратора, есть вероятность восстановить данные);
  • В случае наличия резервной копии данных – в зависимости от корпоративной политики ИБ, произвести удаление вредоносного ПО средствам антивируса, либо полное восстановление ОС из корпоративного «золотого образа»;
  • Обновить базу данных сигнатур и выполнить полную антивирусную проверку рабочей станции/сервера.

Материалы по теме
  • BlueKeep – WannaCry возвращается?

    Одна из самых известных атак последних лет WannaCry стала возможной благодаря уязвимости EternalBlue. Тогда общий ущерб от атаки ​составил более 1 млрд. долларов и поразил от 200 тыс. до 300 тыс. компьютеров по меньшей мере в 150 странах мира.

  • Анализ изменений в ПП №127

    Мы подготовили для вас сводный документ, в котором ознакомим с последними дополнениями и изменениям  в части закона о КИИ.

  • Нормативные акты

    Список нормативных актов действующих в сфере импортозамещения ПО