Összefoglaló 2017-10-25

Riasztás a BadRabbit zsarolóvírus terjedése miatt

2017-10-25

A Kormányzati Eseménykezelő Központ riasztást adott ki a BadRabbit zsarolóvírus megjelenése
kapcsán.
Az eddigi információk szerint elsősorban Oroszországot és Ukrajnát érte támadás, de török, bolgár és német áldozat is ismert. Az új malware-t a biztonsági kutatók "BadRabbit"-ként emlegetik a zsaroló üzenetben szereplő "darknet"-es weboldal hivatkozás alapján.
Jelenlegi ismeretek szerint a káros tartalom terjesztéséért több orosz médiát ért támadás a felelős,
ugyanis a támadók több orosz nyelvű hírportálba injektáltak káros kódot, ami Flash Player frissítés
letöltését ajánlja, amely azonban egy hamis Adobe Flash telepítő. Ennek a futtatásával, tehát felhasználói interakcióval történik meg bizonyos kiterjesztésű fájlok titkosítása, amelyek visszaállításáért kiberbűnözők 0.05 bitcoin-t követelnek.

Javaslatok:

Amennyiben bekövetkezett a fertőzés, a GovCERT nem javasolja a váltságdíj megfizetését, mert nincs rá semmilyen garancia, hogy valóban feloldásra kerülnek a titkosított dokumentumok, továbbá az így kifizetett összegek kiberbűnözői csoporthoz kerülhetnek. Sikeres támadás esetén szükséges a rendszer újratelepítése és az adatok visszaállítása a biztonsági mentésből.

A fertőzés megelőzése érdekében az alábbiak javasoltak:

  • Tiltsa a bejövő SMB kapcsolatokat

  • Használja a Windows Credential Guard funkcióját (további információ: https://docs.microsoft.com/hu-hu/windows-server/security/security-and-assurance )

  • Monitorozza az ütemezett feladatokat, és folyamat létrehozásokat

  • Hozza létre a c:\windows\infpub.dat && c:\windows\cscc.dat fájlokat, szűntesse meg az írási jogosultságot

  • Ahol lehetséges tiltsa le a WMI-t

  • Ellenőrizze, hogy a felhasználói jogosultságok a lehető legalacsonyabbak legyenek a felhasználó részére.

A BadRabbit zsarolóvírus támadássorozattal kapcsolatban a GovCERT alábbi, folyamatosan frissülő cikkében találhatóak további technikai információk: