У вівторок, 24 жовтня, кілька українських організацій піддалися хакерській атаці. Про збій в роботі своїх систем повідомили київський метрополітен, аеропорт Одеси і Мінінфраструктури.
Також перестали працювати сайти інформагентства «Інтерфакс» і російської газети «Фонтанка.
Поки точно не відомо, чи пов'язані всі ці атаки, але всі вони сталися приблизно в один і той же час - про них стало відомо з різницею в кілька годин. Як мінімум, російські ЗМІ атакував один і той же вірус-шифрувальник, розповідають в компанії Group-IB і уточнюють, що державні установи в Україні теж могли стати його жертвою, TJ.
Творці самого вірусу називають його Bad Rabbit.
Зараження Bad Rabbit нагадує ситуацію з Petya.A травнем 2017 року: від нього постраждали в основному компанії в Росії і в Україні, поширення вірусу відбувалося дуже стрімко, хакери вимагали викуп. Але в Group-IB кажуть, що сам Bad Rabbit не схожий на Petya.A або WannaCry - зараз фахівці вивчають заражені комп'ютери;
Вірус заражає комп'ютер, шифруючи на ньому файли. Отримати доступ до них не можна. На екрані комп'ютера відображається докладне повідомлення з інструкціями: в Telegram-каналі Group-IB опублікували фото прикладів таких заражених комп'ютерів;
В інструкції сказано, що для розшифровки файлів потрібно лише ввести пароль. Але щоб його отримати, потрібно виконати чималий шлях. По-перше, зайти на спеціальний сайт за адресою caforssztxqzf2nm.onion в даркнета - для цього буде потрібно браузер Tor. Судячи з опублікованих Group-IB фотографій, сайт всюди вказано однаковий;
На сайті і вказано назву вірусу - Bad Rabbit. Щоб отримати пароль на розшифровку даних, хакери вимагають ввести «персональний код установки» - довгий шифр з повідомлення, що виводиться на екрані комп'ютера. Після цього з'явиться адреса біткоіни-гаманця, на який потрібно перевести гроші;
Судячи з сайту Bad Rabbit, вимагачі вимагають викуп в 0,05 біткоіни за кожен комп'ютер. По курсу на 24 жовтня це приблизно 283 долара (Petya.A теж вимагав близько 300 доларів);
Знову ж таки, судячи по сайту вірусу, вимагачі дають всього дві доби (48 годин) на виплату початкового викупу. Після закінчення цього терміну ціна за розшифровку файлів виросте, наскільки - невідомо;
Перевірити адресу біткоіни-гаманця, на який хакери отримують кошти, за допомогою доступних кодів з фотографій Group-IB не вийшло. Можливо вони вже були використані, можливо, ми допустили помилку - все-таки код довжиною 356 символів;
Аналітики з ESET стверджують, що вірус Bad Rabbit поширюється під виглядом фейковий поновлення плагіна Adobe Flash. Судячи з скриншоту, заражені сайти видань «Суть подій» (argumentiru.com) і «Аргументи тижня Крим» (an-crimea.ru);
Сайт argumentiru.com зараз перенаправляє на an-crimea.ru, а на сайт «Аргументи тижня Крим» при спробі заходу через Google Chrome браузер виводить попередження про спробу шахрайства.
У той же час Держспецзв'язку України говорить, що об'єкти інфраструктури атакував вірус Locky. .
Нагадаємо, раніше команда реагування на комп'ютерні надзвичайні події України CERT-UA Державної служби спеціального зв'язку та захисту інформації України повідомляє про можливість кібератак на інформаційні ресурси України в період з 13 по 17 жовтня 2017 року.