باد رابيت (Bad Rabbit): هجمات فدية خبيثة جديدة تبدأ في الانتشار

تهديدات

هذه التدوينة سوف يتم تحديثها عند العثور على اي معلومات جديدة عن البرمجية الخبيثة. 

في سنة ٢٠١٧ انتشرت هجمات الفدية الخبيثة بشكل واسع، بالطبع نتحدث عن الهجمات الشهيرة و WannaCry و Expter 

ويبدو ان هناك هجوم ثالث يلوح في الأفق. هذه البرمجية الخبيثة الجديدة تسمى “باد رابيت” Bad Rabbit. هذا هو الاسم المستخدم في رسالة دفع الدفية.

المعلومات التي تم تأكيدها الي هذه اللحظة ان هذه البرمجية الخبيثة اصابت العديد من المؤسسات الاعلامية في روسيا، منها وكالة Interfax الاخبارية و Fontanka.ru.

وتم تأكيد اصابة شبكة معلومات مطار اوديسا ببرمجية خبيثة، ولكن لم يتم التبين من كون هذه البرمجية “باد رابيت” ام لا.

يطلب المخترقون من يقفوا خلف هذا الهجوم ٠.٠٥ بيتكوين كفدية. وهو ما يقابل ٢٨٠ دولار أمريكي تقريباً حالياً.

وفقاً لما عثرنا عليه، الهجمات لم تستخدم ثغرة معينة. وانما عن طريق الهجوم بشكل مباشر. حيث يقوم الضحايا بتحميل برنامج Adobe Flash مزيف. ويوجد هذا الملف على العديد من المواقع المصابة ومن ثم يقوم الضحايا بتحميل وتثبيت الملف .exe مما يصيب أجهزتهم على الفور. وجد باحثونا عدد لا بأس به من المواقع المخترقة. كلها مواقع اعلامية ومواقع اخبارية.

احتمالية حصول الضحاية على ملفاتهم مرة اخرى (عن طريق دفع الفدية او عن طريق ثغرة في شفرة البرمجية الخبيثة) ليست معروفة حتى الآن. خبراء كاسبرسكي لاب يبحثون الآن في هذا الأمر وسوف ننشر الآخبار اول بآول في هذه التدوينة.

حسب المعلومات الواردة لدينا، معظم الضحايا من روسيا. ولكن وقعت بعض من هذه الهجمات في أوكرانيا، تركيا والمانيا. وقعت هذه الهجمات عن طريق مواقع الكترونية لوكالات اعلامية واخبارية روسية. وفقاً للتحقيق الذي قمنا به كانت استهدفت هذه الهجمات شبكات الشركات وكانت تستخدم طرق شبيه للطرق المستخدمة في هجوم ExPetr ولكن لا يمكننا ربط الهجمات الحالية بهجوم ExPetr.

وفي الوقت الحالي نستكمل تحقيقنا ولكن يمكنك التعرف على المزيد من التفاصيل التقنية عبر موقعنا “سكيورليست

منتجات كاسبرسكي لاب منعت  وتعرفت على هذا الهجوم الذي استخدم المسار التالي

UDS:DangerousObject.Multi.Generic (detected by Kaspersky Security Network), PDM:Trojan.Win32.Generic (detected by System Watcher) and Trojan-Ransom.Win32.Gen.ftl.

ماذا تفعل كي لا تقع ضحية “باد رابيت”:

لمستخدمي منتجات كاسبرسكي لاب:
تأكد من ان مراقب النظام (System Watcher) وشبكة كاسبرسكي للأمن مفعلين.

إذا تم إيقافهم فيجب عليك تشغليهم مرة آخرى.

للمستخدمين الآخرين:

منع الامتداد التالي من جهازك :
c:\windows\infpub.dat and c:\Windows\cscc.dat.

ايقاف خدمات (WMI) لمنع البرمجية الخبيثة من الانتشار في شبكتك.

نصائح عامة:

  • قم بنسخ نسخة احتياطية من جميع بياناتك
  • لا تقوم بدفع الفدية