Group-IB нашла способ помешать BadRabbit шифровать файлы

Во вторник во второй половине дня вирус-шифровальщик атаковал информационные системы агентства "Интерфакс" и портала "Фонтанка"

Компания в сфере расследования киберпреступлений Group-IB обнаружила способ предотвратить шифрование файлов, даже если компьютер уже заражен вирусом-шифровальщиком BadRabbit, атаковавшим во вторник российские СМИ и украинские компании.

Как говорится в сообщении Group-IB в Telegram-канале, чтобы вирус не смог зашифровать файлы, "необходимо создать файл C:\windows\infpub.dat и поставить ему права "только для чтения". "После этого даже в случае заражения файлы не будут зашифрованы", - отмечает компания.

Для того, чтобы избежать масштабного заражения компьютеров в сети вирусом BadRabbit, необходимо оперативно изолировать компьютеры, которые были замечены в пересылке подобных вредоносных файлов, отметили в компании. Кроме того, пользователям следует убедиться в актуальности и целостности резервных копий ключевых сетевых узлов.

Также необходимо обновить операционные системы и системы безопасности, и при этом заблокировать IP-адреса и доменные имена, с которых происходило распространение вредоносных файлов, отмечает компания. Кроме того, Group-IB рекомендует запретить хранение паролей в LSA Dump в открытом виде, сменить все пароли на более сложные и поставить блокировку всплывающих окон.

Ранее генеральный директор и основной владелец Group-IB Илья Сачков говорил ТАСС, что Group-IB определила доменное имя, с которого началось распространение вируса-шифровальщика BadRabbit. С этим доменным именем и IP-адресом связаны еще пять ресурсов, отмечал он. В Group-IB полагают, что злоумышленники, использовавшие для атаки BadRabbit, могли быть связаны с продажей трафика (тип серого бизнеса в интернете), или привлекли группу из этой сферы.

По словам Сачкова, есть реальный шанс установить причастных к атаке лиц. Атака с помощью BadRabbit может носить массовый характер, о чисто целевой атаке речи, скорее всего, не идет.

Новый вирус-шифровальщик во вторник атаковал сайты ряда российских СМИ. В частности, как сообщали "Лаборатория Касперского" и Group-IB, атакам подверглись информационные системы агентства "Интерфакс", а также сервер петербургского новостного портала "Фонтанка". По данным Group-IB, атаки начались после полудня на Украине - вирус поразил компьютерные сети Киевского метрополитена, министерства инфраструктуры, международного аэропорта Одессы.