Реакция разработчиков UserGate на атаки вируса BadRabbit

24 октября была обнаружена масштабная атака на организации, находящиеся в восточной Европе и России, со стороны вируса-шифровальщика, названного "Badrabbit".
 
Атака "Badrabbit" стала одной из самых крупных за последние несколько месяцев, данный троян-шифровальщик похож на известные вредоносные программы "Nyetya", "Petya", "NotPetya". У "Badrabbit" нет таких особенностей в распространении, как, например, у "NotPetya", однако по известным сведениям он распространяется после взлома популярных сайтов.
 
Аналитики UserGate выявили скомпроментированные сайты, с которых происходил редирект на вредоносный сайт (1dnscontrol.com). Среди них такие ресурсы, как:
  • Argumentiru.com
  • Fontanka.ru
  • Adblibri.ro
  • Spbvoditel.ru
  • Grupovo.bg
  • sinematurk.com.
 
В HTML-коде был встроен JavaScript inject:
 
Если пользователь нажимал Install, то скачивался поддельный установочный пакет flash player - "install_flash_player.exe". Данный пакет шифровал главную загрузочную запись (MBR). Далее троян-щифровальщик требовал выкуп за зашифрованные данные в размере 0.05 BTC (283 доллара).
 
В этой связи наши аналитики рекомендует произвести следующие действия:
  1. Включить модуль системы обнаружения вторжений UserGate UTM
  2. Запретить рядовым пользователям использовать права администратора
  3. Включить UAC (User Access Control)
  4. Сменить все пароли на сложные длинной более 8 символов
  5. Запретить хранение паролей в LSA dump в открытом виде
  6. Произвести внеочередной backup важных данных.