Эксперты установили рассылавший ​вирус Bad Rаbbit домен​

Эксперты в сфере кибербезопасности установили, с какого домена раздавался новый вирус-шифровальщик Bad Rabbit, от которого пострадали российские СМИ и компании на Украине, говорится в сообщении Group-IB.

«Если посетитель нажимал «скачать», происходила загрузка вредоносного программного обеспечения с ресурса 1dnscontrol.com. Доменное имя 1dnscontrol.com имеет IP 5.61.37.209. Доменное имя 1dnscontrol.com зарегистрировано 22 марта 2016 года и до сих пор пролонгируется. С ним связано множество других вредоносных доменов, первая активность которых относится еще к 2011 году. Возможно, эти домены тоже являются скомпрометированными и могут использоваться для проведения аналогичных атак, рассылки спама, фишинга», — отмечается в релизе.

В ходе анализа установлено, что Bad Rabbit является модифицированной версией NotPetya с исправленными ошибками в алгоритме шифрования. Код Bad Rabbit включает в себя части, полностью повторяющие NotPetya.

«В атаке NotPetya содержался такой же алгоритм вычисления хеш-суммы от имени процесса, но с тем отличием, что начальный вектор инициализации в случае NotPetya 0x12345678, а в Bad Rabbit — 0x87654321. Также в текущей атаке поменялось количество искомых имен процессов, а сама функция вычисления хеша была скомпилирована в виде отдельной функции компилятором. Совпадения в коде указывают на связь атаки с использованием Bad Rabbit с предыдущей атакой NotPetya или их подражателями», — отметили в Group-IB.

Во вторник вирус Bad Rabbit атаковал, в частности, российское агентство «Интерфакс» и издание «Фонтанка», а также Мининфраструктуры Украины, одесский аэропорт и киевское метро. Аналитики рекомендуют заблокировать исполнение файла c:\windows\infpub.dat, C:\Windows\cscc.dat и запретить (если это возможно) использование сервиса WMI. Кроме того, пользователям необходимо сделать бекап (резервное копирование).