Киберполиция: Вирус BadRabbit использовал обновления Flash Player
Стало известно, как вирус проникал в компьютеры.
Для распространения вируса BadRabbit использовалось фейковое обновление Adobe Flash Player. Об этом в среду, 25 октября.
24 октября были зафиксировано единичные атаки типа drive-by-download с использованием программы шифровальщика, который получил название BadRabbit. Киберполиция установила, что в коде BadRabbit есть дублированные и аналогичные элементы кода Petya/ NotPetya. Но в отличие от своего предшественника шифровальщик BadRabbit не уничтожает информацию на жестких дисках пораженных компьютеров. Специалисты отмечают, что настоящей целью этой атаки было желание злоумышленников обогатиться и она была осуществима исключительно из корыстных побуждений.
Следует отметить, что среди пострадавших стран, Украину поразило меньше.
Новый вирус для распространения в качестве основного вектора использует сайты, с которых пользователями загружалось фальшивое обновление Flash. Другим отличием вирусов является то, что BadRabbit не использует уязвимость EternalBlue.
Факты поражения компьютеров жертв в результате открытия файлов электронных документов, направлялись по каналам электронной почты от неустановленных отправителей также имели место и проверяются.
Также работники киберполиции установили, что в коде BadRabbit были обнаружены отсылки к фэнтезийному телесериалу Игра престолов. Например, запланированные задачи имеют имена трех драконов из сериала: Drogon, Rhaegal, Viserion. Ранее подобные послания к популярной фэнтезийной саге были замечены мировыми экспертами в составе одного из скриптов, который использовался для распространения известного шифровальщика Locky.