Rabbit это название конкретной программы или класса программ

Bad Rabbit (рус. «Плохой кролик» ) — вирус-шифровальщик, разработанный для ОС семейства Windows и обнаруженный 24 октября 2017 года [1] . По предположениям аналитиков, программа имеет сходство отдельных фрагментов с вирусом NotPetya.

По оценке Symantec вирус имеет низкий уровень угрозы [2] . 25 октября серверы, обеспечивавшие начальное заражение Bad Rabbit, были остановлены [3] .

История

24 октября 2017 года, вирус шифровальщик атаковал ряд российских СМИ, включая ИА «Интерфакс» и интернет-газету «Фонтанка», а также киевское метро и аэропорт Одесса, требуя за разблокировку одного компьютера 0,05 биткойнов (около 16 тысяч рублей) в течение 48 часов [4] [5] [6] . Также, в меньшей степени, атаке подверглись Турция и Германия [7] [8] . Восстановление работы сайта и компьютеров «Интерфакса» заняло более суток [9] [10] . Тогда же, в вирусе были найдены отсылки к фэнтази-саге «Игра престолов», а именно имена трех драконов — Дрогона, Рейгаля и Визериона [11] [12] [13] [14] .

Apache Kafka урок 1. Зачем нужна, что это? RabbitMQ vs Kafka vs БД

Метод атаки

Для первоначальной установки Вирус не использует каких-либо эксплойтов или уязвимостей: инсталлятор вируса, маскирующийся под установку обновления для Adobe Flash Player, должен быть скачан и запущен вручную пользователем, он запрашивает подтверждение повышения полномочий посредством UAC Windows [15] .

После установки приложение регистрируется в штатном механизме планирования заданий и начинает самостоятельное распространение по локальной сети через удаленные подключения SMB и WMIC при помощи перехвата токенов и паролей утилитой Mimikatz и перебора паролей NTLM на удаленных узлах Windows для ряда распространенных имен пользователей [15] . По данным Cisco Talos, компонент распространения вируса дополнительно использует технологии и коды АНБ «EternalRomance», которые ранее были опубликованы группой Shadowbrokers (ошибка в кодах SMB, исправлена Microsoft в марте 2017) [16] [17] .

Приложение производит шифрование файлов по алгоритмам AES-128-CBC и RSA-2048 [1] .

В нарушение лицензии GPLv3 приложение Bad Rabbit пользуется кодами и драйвером из проекта DiskCryptor [15] [18] [19] , но при этом не публикует изменённых исходных кодов и не запрашивает у пользователя согласия на использование лицензии GPLv3.

Примечания

1. ↑ 1,01,1Орхан Мамедов, Федор Синицын, Антон Иванов.Шифровальщик Bad Rabbit(неопр.) . Лаборатория Касперского (25 октября 2017). Дата обращения: 27 октября 2017.Архивировано 27 октября 2017 года.
2. ↑ Benjamin Moench Ransom.BadRabbit. Technical DetailsАрхивная копия от 27 октября 2017 на Wayback Machine / Symantec Security Response
3. ↑Lorenzo Franceschi-Bicchierai. Infrastructure for the ‘Bad Rabbit’ Ransomware Appears to Have Shut Down(англ.), Vice (Oct 25 2017). Архивировано 26 октября 2017 года.Дата обращения 27 октября 2017.
4. ↑Group-IB: вирус-шифровальщик Bad Rabbit атаковал российские СМИ(неопр.) . ТАСС (24 октября 2017). Дата обращения: 26 октября 2017.Архивировано 26 октября 2017 года.
5. ↑Иван Гусев.Россию атаковал новый вирус-вымогатель «Плохой кролик»(неопр.) . Life (24 октября 2017). Дата обращения: 26 октября 2017.Архивировано 26 октября 2017 года.
6. ↑Полина Духанова.«Не самые грамотные хакеры»: что стоит за кибератаками на российские СМИ(неопр.) . RT (24 октября 2017). Дата обращения: 26 октября 2017.Архивировано 26 октября 2017 года.
7. ↑Алексей Шароглазов.Названы жертвы атаки вируса-шифровальщика Bad Rabbit(неопр.) . Известия (24 октября 2017). Дата обращения: 26 октября 2017.Архивировано 25 октября 2017 года.
8. ↑Вирус-вымогатель атаковал жертв через сайты СМИ(неопр.) . Вести.net (25 октября 2017). Дата обращения: 28 декабря 2017.Архивировано 27 декабря 2017 года.
9. ↑Кристина Жукова.Восстановлена работа пострадавших от вируса Bad Rabbit СМИ(неопр.) . Коммерсантъ (25 октября 2017). Дата обращения: 26 октября 2017.Архивировано 26 октября 2017 года.
10. ↑’Bad Rabbit’ ransomware strikes Ukraine and Russia(англ.). BBC News (26 октября 2017). Дата обращения: 27 октября 2017.Архивировано 6 января 2021 года.
11. ↑Эксперты раскрыли связь между вирусом Bad Rabbit и «Игрой престолов»(неопр.) . Лента.ру (25 октября 2017). Дата обращения: 26 октября 2017.Архивировано 9 июня 2021 года.
12. ↑Роман Босиков.Эксперты обнаружили связь между вирусом Bad Rabbit и «Игрой престолов»(неопр.) . Life (25 октября 2017). Дата обращения: 26 октября 2017.Архивировано 26 октября 2017 года.
13. ↑В вирусе «Bad Rabbit», поразившем российские СМИ, эксперты нашли отсылки к «Игре престолов»(неопр.) . Пятый канал (26 октября 2017). Дата обращения: 26 октября 2017.
14. ↑Вирус-шифровальщик Bad Rabbit создан фанатами «Игры престолов»(неопр.) . CHIP (26 октября 2017). Дата обращения: 26 октября 2017.Архивировано 26 октября 2017 года.
15. ↑ 15,015,115,2Как работает шифровальщик Bad Rabbit, и есть ли здесь связь с NotPetya(неопр.) . Дата обращения: 26 октября 2017.Архивировано 26 октября 2017 года.
16. ↑NICK BIASINI.Threat Spotlight: Follow the Bad Rabbit(англ.). Talos Intelligence (OCTOBER 24, 2017). Дата обращения: 27 октября 2017.Архивировано 27 октября 2017 года.
17. ↑SEAN GALLAGHER. Bad Rabbit used NSA “EternalRomance” exploit to spread, researchers say(англ.), ARS Technica (OCT 26, 2017). Архивировано 26 октября 2017 года.Дата обращения 27 октября 2017.
18. ↑New wave of data-encrypting malware hits Russia and UkraineАрхивная копия от 26 октября 2017 на Wayback Machine(англ.)
19. ↑Kevin Beaumont в Твиттере: «#BadRabbit uses a legit, signed program called DiskCryptor to lock out the victim hard drive.… »(неопр.) . Дата обращения: 26 октября 2017.Архивировано 1 декабря 2017 года.

Хакерские атаки 2010-х

Брокер сообщений RabbitMQ | Tutorial для начинающих на русском | Урок 1 | Введение

• Кибератаки в Австралии (2010)
• Операция «Payback»
• DigiNotar
• Операция «Тунис»
• Взлом и отключение PlayStation Network
• Операция «AntiSec»
• Icefog
• Операция «Red October»
• Взлом электронной почты компании Stratfor
• Взлом LinkedIn (2012)
• Кибератака на Южную Корею (2013)
• Snapchat
• Операция Tovar
• Массовый взлом аккаунтов iCloud
• Взлом серверов Sony Pictures Entertainment
• Кибератака на Национальный комитет Демократической партии США
• Кибератака на Dyn
• Кибератака на Вестминстерский дворец
• WannaCry
• Кибератака на сети Управления кадровой службы США (2014—2015)
• Кибератака на украинскую энергосистему (2015)
• Хакерские атаки на Украину (2017)

• Анонимный интернационал
• Анонимус
• Киберберкут
• Подразделение 121
• Cozy Bear
• Derp
• GNAA
• Fancy Bear
• Goatse Security
• Lizard Squad
• LulzRaft
• LulzSec
• NullCrew
• Подразделение 61398
• RedHack
• Сирийская электронная армия
• Электронная армия Йемена
• Электронная армия Ирана
• TeaMp0isoN
• Tailored Access Operations
• UGNazi

• Heartbleed (SSL, 2014)
• Bashdoor (Bash, 2014)
• POODLE (SSL, 2014)
• Rootpipe> (OSX, 2014)
• JASBUG (Windows, 2015)
• Stagefright (Android, 2015)
• DROWN (TLS, 2016)
• Badlock (SMB/CIFS, 2016)
• Dirty COW (Linux, 2016)
• EternalBlue (SMBv1, 2017)
• DoublePulsar (2017)
• KRACK (2017)
• ROCA (2017)
• BlueBorne (2017)
• Meltdown (2018)
• Spectre (2018)
• BlueKeep (2019)

Источник: xn--h1ajim.xn--p1ai

Шифровальщики-вымогатели The Digest «Crypto-Ransomware»

Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ДАЙДЖЕСТ и ПЕРВОИСТОЧНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.

• Главная
• Введение
• Новости
• Список
• ID Ransomware
• Глоссарий
• Генеалогия
• О блоге
• Онлайн-заявление
• Free HELP!
• Руководство для пострадавшего
• Способы защиты
• Комплекс защиты
• Лучшие методы защиты
• Ransomware FAQ
• Как удалить шифровальщик и восстановить данные?
• Дешифровщики
• Anti-Ransomware
• Заказ тест-расшифровки
• Помощь сайту
• Вам нужна помощь?
• Условия использования
• Контакт
• Drive-by Downloads
• Пять мифов о безопасности Windows
• Freeware и майнинг
• Отправить файл на анализ
• Условия оправдания и реабилитации
• Защита организации от Ransomware
• Анализ затрат-потерь от RW
• Защита удаленной работы от RW
• Защита RDP от RW
• Защита бэкапов от RW

вторник, 30 июня 2020 г.

Rabbit, RabbitWare

Rabbit Ransomware

Aliases: RabbitWare, Taiwan Rabbit

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .RABBIT

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.

Образец этого крипто-вымогателя был найден к конце июня 2020 г. Штамп даты: 5 января 2020 г. Ориентирован на тайскоязычных и тайваньских пользователей, что не мешает распространять его по всему миру.

Записка с со ссылкой на онлайн-сообщение называется: อ่านวิธีแก้ไฟล์โดนล๊อค.txt

Он содержит краткий тест и изображение кролика:
How to fix .RABBIT lock read >> https://pastebin.com/raw/K9DwMHWa

Сообщение по ссылке отражено на следующем скриншоте:

Первое открыто в Блокноте, а второе в браузере Google Chrome.

При переходе по ссылке в браузере открывается следующее сообщение:

Содержание онлайн-записки с требованием выкупа:

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также «Основные способы распространения криптовымогателей» на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту.
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
อ่านวิธีแก้ไฟล์โดนล๊อค.txt — название файла с требованием выкупа
รูปภาพที่ต้องลบ.exe — исполняемый файл
.exe — случайное название вредоносного файла

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as RabbitWare) Write-up, Topic of Support *

Thanks: dnwls0719 Andrew Ivanov (author) *** to the victims who sent the samples

Источник: id-ransomware.blogspot.com

Как удалить .RABBIT virus: Полное руководство

.RABBIT virus — вредоносная программа, которая шифрует личные документы на компьютере пользователя. Эта ransomware выводит сообщение, предлагающее расшифровать всю информацию за деньги. Инструкции по расшифровке появляются на рабочем столе зараженного ПК.

.RABBIT virus считается шифровальщиком файлов, ограничивающим доступ к документам, изображениям, видео. Вирус шифрует файлы, а затем вымогает деньги у жертв. Ransomware проникает на все версии Windows. Во время запуска исполняемый файл начинает сканировать все диски на ПК, чтобы найти необходимые данные для шифрования.

Кроме того, инфекция удаляет все теневые копии томов, чтобы пользователь не мог использовать их для восстановления данных.

Как .RABBIT virus попало на мой ПК?

Распространение .RABBIT virus происходит чаще всего через спам, содержащийся в зараженных вложениях, а также с помощью вирусных программ в операционной системе.

Примеры попадания .RABBIT virus на компьютер:

• Киберпреступники отправляют электронное письмо, которое имеет поддельные заголовки и сплошной обман в контексте. Например, в письме может говориться об акциях от транспортных компаний или о том, что они пытались доставить посылку пользователю, но по каким-то причинам не смогли этого сделать. Часто письма утверждают, что это просто уведомления об отправке заказанных отправлений. Человек не может устоять перед любопытством и открывает такое письмо с вложенным в него файлом или ссылкой. В результате ПК мгновенно заражается .RABBIT virus.
• .RABBIT virus атакует жертв, находя уязвимости в программном обеспечении компьютера, в его операционной системе, браузерах, сторонних приложениях и т.д.

Как удалить .RABBIT virus? Пошаговое руководство

Вот полное руководство, которое поможет избавиться от .RABBIT virus на вашем компьютере. Наиболее эффективным способом является использование проверенного автоматического инструмента, такого как AVarmor

Вы должны понимать, что если вы хотите удалить .RABBIT virus и уже начали процесс удаления, вы рискуете потерять все имеющиеся у вас файлы, потому что нет никакой гарантии, что вы сможете их восстановить. Пользовательские данные могут быть полностью повреждены, если вы вручную удалите инфекцию или восстановите зашифрованные файлы.

Однако вы можете попробовать решить все проблемы в режиме ручного удаления. Давайте разберемся в этом более подробно.

Важная информация

К сожалению, восстановить файлы, зашифрованные программой .RABBIT virus, невозможно. Это связано с тем, что закрытый ключ, который необходим для разблокировки зашифрованных файлов, доступен только киберпреступникам.

Ни в коем случае не платите никаких денег за восстановление ваших файлов. Даже заплатив выкуп, нет никакой гарантии, что преступники предоставят вам доступ к файлам.

Прежде всего, необходимо убедиться, что вредоносная программа удалена из системы ПК, так как она блокирует систему и шифрует файлы, если остается в системе.

Проблема с доступом к зашифрованным файлам существует и сегодня, но антивирусные компании, наряду с хакерами, периодически выпускают дескрипторы — ключи к заблокированным файлам. Поэтому еще одним вариантом выхода из ситуации может стать появление необходимого дескриптора. Перед получением ключа пользователю следует сохранить файлы.

Дескриптор — это систематизация основных параметров вируса в закодированном виде (символы, начинающиеся с заглавной латинской буквы, маленькие латинские буквы и цифры).

Метод 1: Удалить .RABBIT virus с AVarmor

AVarmor — это инструмент, который удаляет вредоносное ПО. Утилита помогает пользователям удалять с компьютеров ransomware типа .RABBIT virus и различные вредоносные программы. Утилита имеет простой и удобный интерфейс, а также мощные механизмы для защиты всей системы вашего ПК.

1. Скачайте и установите AVarmor.
2. После завершения процесса загрузки запустите утилиту, согласившись с ее настройками. Перед этим необходимо закрыть все посторонние программы на вашем компьютере.
3. Утилита начнет свою работу, и пользователю необходимо нажать кнопку «Сканировать» на наличие вредоносного ПО.
4. После завершения сканирования будет сформирован список найденных опасных объектов.
5. Удалить все найденные угрозы.
6. После завершения очистки перезагрузите компьютер.

Метод 2: Подключите компьютер к сети и войдите в безопасный режим

Сначала попробуйте загрузить компьютер в безопасном режиме. Это поможет вам предотвратить запуск .RABBIT virus.

Windows 7, 10, Vista, XP

1. Сначала выполните перезагрузку компьютера.
2. Нажмите F8 до появления Windows.
3. Вы увидите меню дополнительных опций.
4. Перейдите в «Безопасный режим с подключением к сети»
5. Нажмите Enter.

Windows 8, Windows 8.1

1. Нажмите Windows+R, чтобы вызвать окно RUN.
2. Введите команду msconfig.
3. Нажмите OK.
4. Перейдите на вкладку Boot.
5. В этой области выберите опции Safe Boot и Networking.
6. Нажмите OK.
7. Перезагрузите компьютер.

Итог