Bad Rabbit – Novo ataque ransonware começa a se espalhar

Bad Rabbit – Novo ataque ransonware começa a se espalhar

Bad Rabbit é o mais novo ataque do tipo ransonware que está se espalhando nos sistemas Windows, o ataque foi detectado na Russia e Ucrânia e foi considerado um ataque contra empresas da Russia.

Depois dos ataques do WannaCry e ExPetr (também conhecidos como Petya e NotPetya) neste ano, este tende a ser o terceiro grande ataque no ano.

Como o ataque ocorre?

Até o momento o ataque do Bad Rabbit faz uso da técnica de cavalo de troia, onde é utilizado sites que exibem uma atualização falsa do Adobe Flash, ao confirmar o download um arquivo de instalação do “Adobe Flash” do tipo exe é copiado para seu computador e depende de sua

adobe flash update Falso

adobe update Falso

confirmação para a execução manual. Ao executar este arquivo de atualização o seu computador é infectado.

 

Bad rabbit menssagem

Bad rabbit menssagem

Os ataques estão partindo de sites de noticias e mídia infectados, confirmados os ataques no sistema de metro Kiev’s, nas organização de media russa Interfax e ao aeroporto de Odessa. Interfax foi forçada a utilizar seu facebook para publicação, devido ao seus servidores ficarem por várias horas offiline. Veja mais no the guardian em inglês.

Como é conhecido, em breve teremos variantes, assim é importante evitar o download de arquivos de fontes não confiáveis.

O que o ataque do Bad Rabbit causa?

 

Bad Rabbit site

Página de cobrança do Bad Rabbit

O ataque criptografa seus arquivos locais e de rede e cobra um preço para descriptografar o arquivo.

Hoje o valor inicia em 0,05 bitcoin. O que equivale hoje (25/10/2017) a 276,14 dólares ou aproximadamente R$ 895,59.

 

Como se proteger do ataque do Bad Rabbit?

As ferramentas de antivírus tem atualizado sua heurística desde ontem para identificar e barrar o ataque do Bad Rabbit, assim a recomendação principal é a atualização de seu antivírus.

Veja a lista de antivírus que estão detectando o Bad Rabbit no site do virustotal. Caso seu antivírus ainda não esteja detectando, ou não utilize um antivírus. Recomendamos que bloqueie a execução dos arquivos infpub.dat e cscc.dat na pasta do Windows e caso possível em sua rede, desative o serviço WMI para não espalhar o Malware.

Arquivo apenas leitura

Arquivo apenas leitura Bad Rabbit

Para bloquear a execução dos arquivos, você precisa criar os arquivos infpub.dat e cscc.dat para sua unidade de instalação usualmente, c:\windows\infpub.dat e c:\Windows\cscc.dat, respectivamente e altere as permissões destes arquivos para apenas leitura, e não execução ou bloqueie tudo para os usuários do sistema.

Bloqueio ao controle do arquivo

Bloqueio ao controle do arquivo Bad Rabbit

Para desativar o serviço WMI abra a lista de serviços do windows (services.msc) encontre o serviço WMI, pare o servioço e o desative. Para maiores detalhes sobre a execução de seviços veja Configurar como um serviço é iniciado da Microsoft technet.

Além destas proteções mantenha o seu backup de arquivos atualizados, pois caso sofra esta infecção ou outra que venha a surgir poderá restaurar seus arquivos ao seu estado original.

 

 

Como saber se estou infectado pelo Bad Rabbit?

Drogon e Rhaegal tarefas

Drogon e Rhaegal tarefas bad rabbit

Se encontrou os arquivos infpub.dat e cscc.dat na pasta do Windows já é um forte indicio de infecção.

Além disto o malware crias duas tarefas agendadas, com o nome de dragões Drogon e Rhaegal da série Game of Thrones como mostrado pelo Kevin Beaumont em seu twiter.

Também é criada um link para o resgate de seu arquivo exigindo o pagamento.

Como remover o Bad Rabbit?

Pelas características já mencionadas, pode intuir a remoção do Bad rabbit.

Para remover o Bad Rabbit inicie o Windows infectado em modo de segurança e remova as tarefas agendadas drogon e rhaegal e remova os arquivos dat infectados infpub.dat e cscc.dat.

Apesar da remoção, ressaltamos que um sistema infectado uma vez pode conter outras ameaças, assim recomendamos a completa restauração de seu sistema a partir de um backup seguro ou a completa reinstalação de seu sistema.

 

Deixe sua opinião!