2017-10-25 15:41:39
Коротко про вчорашні події:
— початкове зараження відбулося через скомпрометовані веб-сайти та фейкове оновлення flash player, яке для активації та подальшої експлуатації потребувало взаємодію з користувачем (користувач мав підтвердити згоду щодо встановлення оновлення);
— розповсюдження у локальній мережі відбувалося через сканування внутрішньої мережі на відкритіcть smb-файлів відкритого доступу, а також намаганням використати протокол http webdav, який базується на http і дозволяє використовувати web як ресурс для читання і запису;
— використовувався mimikatz для вилучення облікових даних користувача з пам’яті інфікованого ПК;
— використовувалося легітимне програмне забезпечення diskcryptor для шифрування файлів;
— типи розширень файлів, які були зашифровані на ПК користувача:
.3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf.der.dib.disk.djvu.doc.docx.dwg.eml.fdb
.gz.h.hdd.hpp.hxx.iso.java.jfif.jpe.jpeg.jpg.js.kdbx.key.mail.mdb.msg.nrg.odc.odf.odg.odi.odm.odp.ods.odt.ora.ost.ova.ovf.p12.p7b.p7c
.pdf.pem.pfx.php.pmf.png.ppt.pptx.ps1.pst.pvi.py.pyc.pyw.qcow.qcow2.rar.rb.rtf.scm.sln.sql.tar.tib.tif.tiff.vb.vbox.vbs.vcb.vdi.vfd.vhd
.vhdx.vmc.vmdk.vmsd.vmtm.vmx.vsdx.vsv.work.xls.xlsx.xml.xvd.zip.
Більш детальні відомості щодо атаки були опубліковані антивірусними лабораторіями та іншими відомими вендорами в галузі кібербезпеки:
https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back-improved-ransomware/
https://www.kaspersky.com/blog/bad-rabbit-ransomware/19887/
https://securelist.com/bad-rabbit-ransomware/82851/
https://www.theregister.co.uk/2017/10/24/badrabbit_ransomware/
https://gist.github.com/roycewilliams/a723aaf8a6ac3ba4f817847610935cfb
Індикатори компрометації:
Скомпрометовані сайти:
джерело: 911