Virus-Trojan försökte att attackera ryska banker och infekterade datorer i ett antal ukrainska organisationer och ryska medier, som kallas BadRabbit. Specialister i företaget “Grupp-IB”, analyserade den, påpekade att den nya “extortionist” — inte som andra, som en förbättrad version av den gamla goda “Petit” som rasade förra våren. Den experter på it-säkerhet kunde spåra domännamn, som började att sprida virus. Det är troligt att en inkräktare kommer att kunna spåra.
“Undersökningen visade att spridning av skadlig kod genomfördes med resurs 1dnscontrol.com. Domännamn 1dnscontrol.com IP-5.61.37.209”, — anges i meddelandet släppt av “Group-IB”.
Anställda av “Grupp-IB” förklara att BadRabbit — bättre och modifierad version av viruset “NotPetya” i koden som fast de krypteringsalgoritmer och ett antal innovationer. Men koden för det nya viruset har bitar av kod som liknar det som har varit finns i “NotPetya” tidigare.
VD för bolaget “Grupp-IB” Ilya Sachkov på radio Sputnik sade att den befintliga ledningen kommer att tillåta dig att hitta angriparna, men utesluter inte att sådana attacker kan upprepas i framtiden. Det faktum att verktyg för skapandet av liknande virus är tillgänglig, innebär att engagera sig i sin förbättring och genomförande är möjligt för nästan vem som helst.
Fick på datorn, ransomware virus krypterar alla lagrade på hårddisken data block användaren tillgång till DATOR och börjar pressa belöning för att låsa på den kurs av 0,05 bitcoin (runt $ 300 vid nuvarande valutakurser).
“Det är en hög sannolikhet för att förstå var du kommer ifrån den fysiska händer och fötter av denna attack. Du kan bestämma vem som gjort attacken. Domännamnet var registrerat tillbaka i 2016, någon betalar, det handlar om några andra skadliga domäner. De människor som skapat dem, drivs sedan 2011. Det är, i vårt tycke, helt klart kriminell grupp. Inte det faktum att det är i samband med denna attack, men hon var engagerad i, inklusive skräppost och phishing. Till skillnad från tidigare attacker, vi har redan ett fotavtryck och logik som kommer att ge de brottsbekämpande organ för att genomföra sökning verksamhet och kvarhålla dem som gjorde det”, — citat RIA “nyheter” Ilya Sachkov.
Bland de första offren för den nya virus-kryptograf Kievs tunnelbana, Odessas flygplats och ett antal ryska medier, däribland Isländska och “Fontanka”.
Gårdagens virus-extortionist kompletterades och ändrades NotPetya
Vyacheslav Larionov