Вирус Bad Rabbit маскировался под программы Symantec
Эксперты компании Acronis, занимающейся защитой данных, узнали об отличиях между вирусами-вымогателями Bad Rabbit и ExPetya, сообщает РБК со ссылкой на заявлении компании. Как выяснили аналитики, Bad Rabbit использует шифрование с помощью легального драйвера ядра dcrypt.sys. Специалисты уточняют, что программа подписана сертификатами, имитирующими Symantec (американская компания по производству программного обеспечения), из-за чего антивирусам трудно обнаружить заражение.
Помимо этого, в отличие от Petya, Bad Rabbit не пользуется уязвимостью файл-сервера Microsoft srv.sys, а шифрование диска происходит без имитации работы chkdsk.exe — приложения, проверяющего жесткий диск на ошибку файловой системы. «На наш взгляд, этот программа-вымогатель Bad Rabbit имеет существенные технологические отличия от шифровальщика Petya, при том, что общие черты есть на концептуальном уровне»,— рассказали в Acronis. Аналитики добавили, что у вирусов есть и сходство: они оба используют как дисковое, так и файловое шифрование.
Вчерашнее распространение Bad Rabbit, требующего выкуп в эквиваленте 16 тыс. руб., стало уже третьим подобным инцидентом в 2017 году. На этот раз, по оценке «Лаборатории Касперского», основная часть зараженных компьютеров находится в России, но атаки отмечались и на Украине, в Германии и Турции. В Group-IB считают, что злоумышленники, использовавшие для атаки Bad Rabbit, могли быть связаны с продажей трафика.
Подробнее о новом вирусе читайте в материале «Ъ» «Хакеры сослались на "Игру престолов"».