Домен, с которого распространился вирус-шифровальщик Bad Rabbit, уже не отвечает. Об этом сообщает ТАСС со ссылкой на замглавы лаборатории компьютерной криминалистики компании Group-IB, специализирущегося на предотвращении киберпреступлений, Сергея Никитина.
Во вторник Bad Rabbit атаковал сайты «Интерфакса», «Аргументов недели», «Фонтанки», Киевского метрополитена, международного аэропорта Одессы и Мининфраструктуры Украины. Данный вирус — модификация вируса Petya, который заразил компьютеры во всем мире в июне этого года.
Загрузка вируса Bad Rabbit шла с ресурса 1dnscontrol.com. Его доменное имя было зарегистрировано 22 марта 2016 года и действует до сих пор. IP домена связан с пятью ресурсами. На их владельцев оформлены множество других сайтов, в том числе продающих поддельные медикаменты. «Не исключено, что они использовались для рассылки СПАМа, фишинга», — говорится в сообщении Group IB.
После заражения Bad Rabbit на мониторе появлялось поддельное окно, предлагающее установить обновление Adobe Flash-плеера. Пользователь соглашался, начиналось скачивание и запуск вредоносного файла. Затем высвечивалось окно с адресом сайта в сети и код, который нужно было ввести для появления биткоин-кошелька. За разблокировку компьютера хакеры требовали перевести 0,05 биткойна (около $283). На странице сайта шел отсчет времени до увеличения стоимости выкупа.
BadRabbit крал из памяти логины и пароли и мог самостоятельно устанавливаться на другие компьютеры с помощью программы Mimikatz.
В свою очередь редакция «Фонтанки» считает, что кибератака на нее была заказана представителями власти, которым были невыгодны публикации издания. В числе материалов, которые вызвали недовольство чиновников, «Фонтанка» называет серию расследований о частной военной компании Вагнера, связанной со структурами петербургского бизнесмена Евгения Пригожина, чьи наемники воюют в Сирии и на Донбассе.