O inimigo agora é outro: novo ataque de ransomware em massa está à solta!

Bad Rabbit tem comportamento parecido ao do Not Petya e já atingiu Europa, Coréia do Sul e EUA

 

Fonte: Kaspersky Lab

Fonte: Kaspersky Lab

Ao que tudo indica, os cibercriminosos realmente querem fazer com que 2017 se torne o ano do ransomware. Quase 4 meses após o NotPetya, um ataque em massa parecido foi realizado ontem (24). O anúncio foi feito pela equipe da Kaspersky Lab e o país mais afetado foi a Rússia. Veja o que se sabe até agora:

 

Seu nome

O ransomware tem sido chamado de Bad Rabbit, conforme a mensagem que surge cobrando pelo resgate.

 

Rússia é o país mais afetado

De acordo com uma medição realizada pela ESET, 65% dos computadores afetados pelo ransomware estão na Rússia. O que se sabe até agora é que meios de comunicação russos foram infectados, entre eles a Interfax, a maior agência de notícia do país.

A Ucrânia é a segunda região mais atingida, o metrô de Kiev e o Aeroporto Internacional de Odessa estão entre as organizações comprometidas. Além disso há indícios de computadores infectados na Alemanha, Turquia, Bulgária e Japão.

Segundo a Avast, casos também foram encontrados na Polônia, Coreia do Sul e Estados Unidos e a empresa acredita que o número de regiões afetadas será maior.

 

Seu funcionamento

Fonte: ESET

Fonte: ESET

Até onde os pesquisadores da Kaspersky descobriram, ele funciona através da técnica drive-by download. Basta que a pessoa acesse um site malicioso e ele inicia automaticamente o download de um programa de atualização do Adobe Flash. Entretanto, para que o ataque realmente funcione é preciso que o usuário realize manualmente o resto da instalação no computador.

 

 

Preço do resgate

As mensagens que surgiram nos computadores infectados diziam que as vítimas tinham 40 horas para realização do pagamento no valor de 0,05 bitcoin (ou US$ 280, na transação atual). No entanto, ainda não conseguiram comprovar que é possível reaver os documentos sequestrados, mesmo após o resgate sendo pago.

O US-CERT divulgou um alerta em sua página afirmando que desencoraja que usuários e empresas realizem o pagamento do resgate, justamente porque não é garantido que vá haver o retorno desses arquivos.

 

Pode ser uma cópia do NotPetya

Em um artigo produzido pelo Group IB, a empresa afirma que o Bad Rabbit é uma versão modificada do Not Petya, uma vez que partes do algoritmo do novo ransomware são bastante parecidos (senão iguais) ao malware que foi lançado em junho deste ano. Além disso, já foi descoberto também que o Bad Rabbit, após instalado no computador, irá verificar a rede local atrás de algum diretório SMB aberto. Maneira ao qual ele será espalhado, tal qual fazia o NotPetya.

 

bonnie_fivenightsatfreddys.gif

O que fazer, então?

Igual a qualquer ransomware, e como já foi dito aqui anteriormente, em caso de contaminação a primeira coisa a fazer é não pagar!

O melhor a se fazer é investir em ações preventivas, como o backup. Além de trabalhar com a prevenção com os usuários, diga a eles que caso o computador inicie a instalação automática de qualquer arquivo que ela seja cancelada imediatamente. E se o download tiver sido feito, o arquivo deve ser deletado da máquina.

Outra recomendação é bloquear a execução de arquivos c: \ windows \ infpub.dat e c: \ Windows \ cscc.dat. Bem como a desativação do serviço WMI, para evitar que o Bad Rabbit se espalhe pela rede.

 

Fonte: Kaspersky Lab, ESET, Gizmodo, US-CERT, Group IB