Киберполиция: Вирус BadRabbit использовал обновления Flash Player

Стало известно, как вирус проникал в компьютеры.

Об этом в среду, 25 октября, сообщили в пресс-службе Нацполиции, передает Корреспондент.net.

24 октября были зафиксировано единичные атаки типа drive-by-download с использованием программы шифровальщика, который получил название BadRabbit. Киберполиция установила, что в коде BadRabbit есть дублированные и аналогичные элементы кода Petya/ NotPetya. Но в отличие от своего предшественника шифровальщик BadRabbit не уничтожает информацию на жестких дисках пораженных компьютеров. Специалисты отмечают, что настоящей целью этой атаки было желание злоумышленников обогатиться и она была осуществима исключительно из корыстных побуждений.

Следует отметить, что среди пострадавших стран, Украину поразило меньше.

Новый вирус для распространения в качестве основного вектора использует сайты, с которых пользователями загружалось фальшивое обновление Flash. Другим отличием вирусов является то, что BadRabbit не использует уязвимость EternalBlue.

Факты поражения компьютеров жертв в результате открытия файлов электронных документов, направлялись по каналам электронной почты от неустановленных отправителей также имели место и проверяются.

Также работники киберполиции установили, что в коде BadRabbit были обнаружены отсылки к фэнтезийному телесериалу Игра престолов. Например, запланированные задачи имеют имена трех драконов из сериала: Drogon, Rhaegal, Viserion. Ранее подобные послания к популярной фэнтезийной саге были замечены мировыми экспертами в составе одного из скриптов, который использовался для распространения известного шифровальщика Locky.