Jelenlegi hely

BadRabbit zsarolóvírus

A Kormányzati Eseménykezelő Központ riasztást ad ki a BadRabbit zsarolóvírus megjelenése kapcsán.

Az eddigi információk szerint elsősorban Oroszországot és Ukrajnát érte támadás, de török, bolgár és német áldozat is ismert. Az új malware-t a biztonsági kutatók "BadRabbit"-ként emlegetik a zsaroló üzenetben szereplő "darknet"-es weboldal hivatkozás alapján.

Jelenlegi ismeretek szerint a káros tartalom terjesztéséért több orosz médiát ért támadás a felelős, ugyanis a támadók több orosz nyelvű hírportálba injektáltak káros kódot, ami Flash Player frissítés letöltését ajánlja, amely azonban egy hamis Adobe Flash telepítő. Ennek a futtatásával, tehát felhasználói interakcióval történik meg bizonyos kiterjesztésű fájlok titkosítása, amelyek visszaállításáért kiberbűnözők 0.05 bitcoin-t követelnek.

Javaslatok

Amennyiben bekövetkezett a fertőzés, a GovCERT nem javasolja a váltságdíj megfizetését, mert nincs rá semmilyen garancia, hogy valóban feloldásra kerülnek a titkosított dokumentumok, továbbá az így kifizetett összegek kiberbűnözői csoporthoz kerülhetnek. Sikeres támadás esetén szükséges a rendszer újratelepítése és az adatok visszaállítása a biztonsági mentésből.

A fertőzés megelőzése érdekében az alábbiak javasoltak:

  • Tiltsa a bejövő SMB kapcsolatokat
  • Használja a Windows Credential Guard funkcióját
    (további információ: https://docs.microsoft.com/hu-hu/windows-server/security/security-and-assurance)
  • Monitorozza az ütemezett feladatokat, és folyamat létrehozásokat
  • Hozza létre a c:\windows\infpub.dat && c:\windows\cscc.dat fájlokat szűntesse meg az írási jogosultságot
  • Ahol lehetséges tiltsa le a WMI-t
  • Ellenőrizze, hogy a felhasználói jogosultságok a lehető legalacsonyabbak legyenek a felhasználó részére.

A BadRabbit zsarolóvírus támadássorozattal kapcsolatban az alábbi, folyamatosan frissülő cikkünkben találhatóak további technikai információk: