Специалисты выяснили, как защитить от шифровальщика BadRabbit уже зараженный компьютер. Накануне волна атак накрыла Россию и Украину.
В Twitter компании Group-IB говорится, что вирус перестает шифровать данные на компьютере после создания файла "C:\windows\infpub.dat" и присвоении ему атрибута "только для чтения".
Новый вирус-шифровальщик во вторник днем атаковал сайты ряда российских СМИ. Как сообщали "Лаборатория Касперского" и Group-IB, атакам подверглись информационные системы агентства "Интерфакс", а также сервер петербургского новостного портала "Фонтанка.ру". У сотрудников "Интерфакса" вирус требовал выкуп за разблокировку компьютеров.
По данным Group-IB, атаки начались после полудня и на Украине - там вирус поразил компьютерные сети Киевского метрополитена, Министерства инфраструктуры, международного аэропорта Одессы.
Атака с помощью BadRabbit может носить массовый характер, о чисто целевой атаке речи, скорее всего, не идет, заявил ТАСС генеральный директор и основной владелец Group-IB Илья Сачков. Он утверждает, что Group-IB определила доменное имя, с которого началось распространение вируса-шифровальщика BadRabbit. С этим доменным именем и IP-адресом связано еще пять ресурсов. В Group-IB полагают, что злоумышленники могли быть связаны с продажей трафика. По оценке Сачкова, есть реальный шанс установить причастных к атаке лиц.