Как не «заразиться» «Злым кроликом»

Взломав 24 октября серверы АЖУРа, преступники действовали целенаправленно, чтобы дискредитировать наши СМИ – «Фонтанку» и 47News. И если сначала хакеры хотели перекрыть канал информации, то теперь решили превратить новости в рассадник заразы. Мы узнали, как оставаться в курсе событий и не заболеть.

Как рассказали в «Лаборатории Касперского», несмотря на то, что атака была направлена преимущественно на корпоративный сектор, столкнуться с последствиями могут и пользователи. Точных «симптомов» виртуальной инфекции пока нет, но программисты полагают, что после взлома серверов АЖУРа с сайта «Фонтанки» можно было подхватить вирус BadRabbit. «Злой кролик» шифрует файлы, а за их возвращение владельцам преступники требуют 0,05 биткойна, что равно примерно 15 700 рублям (или 283 долларам).

По мнению экспертов, скорее всего, опасность представляет баннер с предложением установить обновление для ПО, в частности – Adobe Flash Player. Давая своё согласие, можно получить файл с ненастораживающим названием. Но вместо новой версии Flash Player его установка «подселит» в компьютер вирус.

Самой действенной превентивной мерой традиционно остаётся защитное решение. Если на вашем компьютере его нет, то самое время установить антивирус, обновить вирусные базы и включить «Мониторинг активности» (он же System Watcher).

Для тех, кто защищает компьютер без «Лаборатории Касперского», эксперты рекомендуют заблокировать исполнение файлов C:\windows\infpub.dat, C:\Windows\cscc.dat и C:\Windows\cscc.dat с помощью инструментов системного администрирования.

Не стоит забывать и про резервное копирование: регулярный перенос на отдельные носители или в «облако» позволит сберечь самое важное. Кроме отдельных файлов стоит сохранить образ диска, поскольку Bad Rabbit шифрует и его.

«Для шифрования диска используется легитимная утилита шифрования - DiskCryptor», – уточнили в «Лаборатории Касперского».

Там призывают быть бдительными с рекламой, всплывающими окнами и сомнительными баннерами. Если нет возможности их заблокировать, то не кликать и не открывать их.

Если же заражения избежать не удалось, то ни в коем случае не пытайтесь выкупить у злоумышленников свои файлы. По словам экспертов, нет гарантии, что, расставшись с деньгами, вы увидите «заложников». Есть риск, что данные удалят безвозвратно, и расшифровывать будет уже нечего.

Разобраться с проблемой бесплатно можно на сайте noransom.kaspersky.com/ru/. Там предлагают скачать бесплатные декрипторы для расшифровки, базы которых постоянно обновляются.

«Если этот вирус действительно шифрует данные, а не удаляет, как ExPetr, то там может появиться возможность их расшифровать», – рассказали в «Лаборатории Касперского». Возможность расшифровки сейчас устанавливают специалисты.

«Фонтанка» уже писала, кто и почему мог напасть на наши серверы. Вирус, которым хакеры «заразили» сайт, отследила и купировала техслужба, но риск подцепить «болячку» не исключен. Кроме того, опасность представляют ещё порядка десяти площадок, которые тоже подверглись кибернападению.