Вирус Bad Rabbit, который 24 октября поразил серверы «Интерфакса», сайт «Фонтанки» и другие ресурсы, использовал для проникновения на компьютеры поддельные сертификаты, имитирующие Symantec. Как рассказали в компании Acronis, это позволило вирусу остаться незамеченным до активации.
Специалисты компании заметили, что Bad Rabbit представляет собой более продвинутую версию вируса Petya, потому что он также шифрует содержимое жесткого диска, но использует для этого принципиально новые уязвимости.
В Group-IB рассказали, что заражение происходило через специальный сайт, где пользователю предлагали обновить Flash-плеер. Этот сайт, как предполагается, был связан с распространением спама.
По оценке ESET, за 24 октября атакам Bad Rabbit подверглись компьютеры в нескольких странах. Большинство из них (65%) были в России, еще 12% — на Украине, атакованы были также компьютеры в Болгарии (10%), Турции (6%) и Японии (4%).
Сейчас, по данным Group-IB, распространение вируса завершено. При этом вирус пытался заразить системы российских банков из первой двадцатки.
Обновление. Для предотвращения заражения Group-IB рекомендовала создать на компьютере (например, через «Блокнот») файл C:\Windows\infpub.dat и в свойствах поставить галочку «Только для чтения».
От вируса Bad Rabbit пострадали ресурсы агентства «Интерфакс», информационная лента которого по состоянию на утро 25 октября все еще не работает. Сайт «Фонтанки» был восстановлен к ночи на 25 октября.
На Украине вирус атаковал системы аэропорта Одессы, Киевского метрополитена и министерства инфраструктуры.