Эксперты рассказали об отличиях вирусов Bad Rabbit и ExPetya

Эксперты компании Acronis — разработчика решений для защиты данных — рассказали про отличия между вирусами-вымогателями Bad Rabbit, атаковавшим в том числе российские СМИ 24 октября, и ExPetya. Об этом говорится в заявлении компании, поступившем в РБК.

По данным разработчиков, новый троян Bad Rabbit использует шифрование с использованием легального драйвера ядра dcrypt.sys; программа подписана сертификатами, имитирующими Symantec (американская компания по производству программного обеспечения), что затрудняет обнаружение классическими антивирусами.

Кроме того, в отличие от Petya, Bad Rabbit не использует уязвимость Microsoft файл-сервера srv.sys, а шифрование диска производится без имитации работы chkdsk.exe — приложения, проверяющего жесткий диск на ошибку файловой системы.

«На наш взгляд, эта программа-вымогатель Bad Rabbit имеет существенные технологические отличия от шифровальщика Petya, притом что общие черты есть на концептуальном уровне», — пояснили в Acronis. Что касается сходства, оба вируса используют как дисковое, так и файловое шифрование.

Во вторник, 24 октября, было проведено «сотни атак» с использованием вируса Bad Rabbit, который является модификацией вируса-шифратора, известного как Petya. В результате атак пострадали компьютеры в нескольких странах, в том числе в России, на Украине, в Турции и Германии. По данным компании лаборатории ESET, на Россию пришлось 65% атак, на Украину — 12,2%, Болгарию — 10,2, Турцию — 6,4, Японию — 3,8%, на другие страны — 2,4%.

В России от атаки пострадали сайты изданий «Интерфакса» и «Фонтанки.ру». Также пострадали сети одесского аэропорта, Киевского метрополитена и Министерство инфраструктуры Украины.

СЛЕДУЮЩИЙ МАТЕРИАЛ РАЗДЕЛА "IT"