Global Look Press

В коде вируса-шифровальщика BadRabbit, атаковавшего множество компьютеров в России и на Украине, обнаружились отсылки к сериалу телеканала HBO "Игра престолов" по серии романов "Песнь Льда и Пламени" Джорджа Мартина".

BBC обращает внимание на скриншот, который опубликовал в Twitter исследователь Кевин Бомон. Согласно приведенным данным, вирус создает в Windows задачи, названные в честь драконов Drogon, Rhaegal и Viserion в "Игре престолов". Это придает "плохому кролику" больше сходства с вирусом Locky, чем с NotPetya, чем полагалось ранее.


BadRabbit попадает на компьютер, маскируясь под обновление для AdobeFlash. После установки он блокирует активность в системе и зашифровывает файлы, а затем требует выкуп в размере 0,05 биткоина (около 280 долларов).

К настоящему времени массовое распространение BadRabbit удалось остановить, однако специалисты по кибербезопасности рекомендуют пользователям Windows перестраховаться, заблокировав исполнение файлов c:\windows\infpub.dat и C:\Windows\cscc.dat и запретив использование сервиса WMI, пишет "Лента.Ру".

За последние полгода по миру прокатились уже две волны атак вирусов-шифровальщиков: 12 мая произошла атака вируса WannaCry, а 27 июня вирус-вымогатель Petya поразил сети около 80 организаций в России и правительственную сеть на Украине.

Оба вируса проникали на компьютеры, работающие на базе Windows, шифровали содержимое жестких дисков и требовали выкуп за восстановление данных. Атака вируса WannaCry затронула сотни тысяч компьютеров более чем в 150 странах, а атака Petya - свыше 10 тысяч компьютеров в 65 странах. От вирусов пострадал ряд российских компаний, включая "МегаФон" и "Роснефть", а в результате атаки Petya были зафиксированы единичные случаи заражения компьютеров в банках.

Вирус-вымогатель, который блокирует доступ к данным и требует 300 долларов в биткоинах за разблокировку, известен в различных модификациях еще с 2016 года.

Вредоносная программа распространяется через спам-письмо. В частности, первые версии Petya маскировались под резюме. Когда пользователь открывал зараженное письмо, на экране появлялась Windows-программа, требовавшая прав администратора.