Bad Rabbit Ransomware

 

Distribuição

A onda de ataque inicial que transportava o vírus Bad Rabbit foi realizada no dia 24 de outubro de 2017. O principal método associado a ele é um agente de carga útil infectado. Este caso particular usava um falso instalador Adobe Flash que foi carregado em sites falsos de download.

Existem várias opções que podem ser usadas pelos operadores hackers, representam todas as táticas mais utilizadas:

Documentos infectados – O código do Ransomware Bad Rabbit pode ser incorporado em alguns dos tipos de documentos mais utilizados que podem ser personalizados para serem considerados interessantes ou importantes para as vítimas. Os exemplos incluem documentos rich text, planilhas, apresentações e bancos de dados.

Fake Software Installers – Esta é a forma como o vírus Bad Rabbit está sendo distribuído às vítimas. As operadoras de hackers baixam software legítimo de suas fontes oficiais e as modificam para incluir o vírus do malware. Em outros casos, os arquivos resultantes podem não conter qualquer informação legítima.

Scripts – Eles podem ser colocados em sites, arquivos pequenos ou até elementos interativos em mensagens de e-mail. Depois de clicar, eles executam uma seqüência interna de comandos que baixam o vírus Bad Rabbit de um local remoto e instalá-lo nos computadores vítimas.

A campanha observada utilizou uma série de sites gerados automaticamente que contêm links ou scripts que levam à infecção. Todos os sites eram portais de notícias ou mídia hospedados em diferentes servidores em todo o mundo. Os arquivos associados à onda atual são identificados como install_flash_update.exe. Os pesquisadores de segurança também observaram que instâncias de JavaScript estão sendo usadas nos sites gerados automaticamente para entregar as infecções. Outra opção que os hackers tendem a usar é a reconfiguração de outros arquivos de vírus para distribuir o Bad Rabbit por si só. Outras estratégias também podem ser implementadas à medida que o vírus cresce e se espalha ainda mais. Até essa data, confirmamos infecções nos países em desenvolvimento:

  • Ukraine
  • Turkey
  • Germany
  • Russia
  • Bulgaria
  • Japan

O vírus Bad Rabbit visa principalmente clientes corporativos e agências governamentais. Uma das vítimas mais proeminentes é o aeroporto de Odessa.

Alguns dos principais sites de distribuição que hospedam instâncias do vírus Bad Rabbit:

  • myk104(dot)com (US Radio Station)
  • montenegro-todaycom (Tourist Office of Montenegro)
  • otbrana(dot)com (Bulgarian Defense Association)
  • hercegnovi(dot)me (Hercegnovi Municipality website, Montenegro)
  • Bahmut(dot)com(dot)ua (Bahmut Municipality website, Ukraine
  • Ucarsoft(dot)com (Turkish web services)
  • Pensionhotel(dot)de (German Booking Website)
  • Tweetlerim(dot)gen(dot)tr (Turkish Twitter Trends site)

Durante a pesquisa, os pesquisadores de segurança observam que um subconjunto das amostras capturadas usou o recurso Eternal Blue, que é o mesmo usado pelo Pansia Ransomware.

 

Impacto do vírus Bad Rabbit

Uma vez que os arquivos da vítima são usados ​​para atacar os arquivos comprometidos, uma série de comandos complicados são executados. Uma das etapas mais importantes na seqüência de infecção é a elevação de privilégios, isso garante que o vírus obtenha direitos administrativos, proporcionando acesso ilimitado ao sistema. A tentativa é feita com a emissão do prompt padrão do UAC. Se ele passa, uma DLL maliciosa é salva como C:\Windows\infpub.dat e lançou usando o arquivo rundll32 do sistema.

Outro componente perigoso do vírus Bad Rabbit é capaz de brute – forçando as credenciais de login NTLM de máquinas Windows que possuem endereços IP pseudo-aleatórios. Este arquivo também é capaz de instalar um executável malicioso perigoso na pasta do sistema do Windows e criar uma tarefa agendada. Esta é uma opção para configurar uma instalação persistente. A análise de segurança também detectou que os módulos e componentes que compõem o vírus Bad Rabbit apresentam características de detecção sigilosa. Eles são colocados para proteger o vírus de serem detectados. Várias entradas de registro são adicionadas ao registro do Windows que são usados ​​pelos módulos durante os estágios posteriores da infecção.

Tudo isso leva à execução do infpub.dat, um módulo do vírus Bad Rabbit que lança o processo de criptografia. Como outras impressões semelhantes, ele usa uma lista de arquivos internos de extensões de arquivos de destino. As partes capturadas até agora indicam o seguinte:

.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab
.cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc
.docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg
.js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora
.ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst
.pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff
.vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work
.xls .xlsx .xml .xvd .zip

Acredita-se que algum do código tenha sido retirado do DiskCryptor da raíz do Ransomware Mamba. Ele usa o mesmo módulo de criptografia de disco que instala um carregador de inicialização sobreposto e impede o processo de inicialização normal. A análise do código revela que as operadoras de hackers por trás da ameaça usaram referências que têm uma semelhança com personagens do Game of Thrones, algumas das referências são as seguintes: Viserion, Drogon, Rhaegal, GrayWorm e etc.

Uma vez que tudo isso é feito, as vítimas serão confrontadas com uma nota do ransomware uma vez que a máquina seja reiniciada. A seguinte mensagem aparece em vez da tela de inicialização usual:

Bad Rabbit Virus image

Isso efetivamente remove a possibilidade de iniciar o computador normalmente. As vítimas recebem uma identificação de infecção única (UID) que geralmente é gerada a partir de informações colhidas dos computadores. Ele pode incluir qualquer um dos seguintes: componentes de hardware, versões de software instalado e configurações de usuário.

As vítimas são redirecionadas para um site localizado na rede TOR anônima que exibe o texto da chantagem. Conforme o seguinte:

BAD RABBIT
If you access this page your computer has been encrypted. Enter the appeared personal key in the field below. If succeed, you’ll be provided with a bitcoin account to transfer payment. The current price is on the right.
Once we receive your payment you’ll get a password to decrypt your data. To verify your payment and check the given passwords enter your assigned bitcoin address or your personal key.
Time left before the price goes up
36-25-48
Price for decryption:
฿ 0.05

Como de costume, as vítimas são extorquidas para pagar uma taxa de Ransomware de 0,05 Bitcoins que é o equivalente a cerca de US $ 280. Recomendamos que todos os usuários utilizaem uma solução anti-spyware segura que seja capaz de efetivamente remover infecções detectadas apenas com alguns cliques no mouse.

Uma das ações mais perigosas associadas ao vírus Bad Rabbit é a sua capacidade de tentar se espalhar na rede acessível através das máquinas comprometidas. O módulo de infecção usa uma lista de nomes de usuário e senhas codificados para tentar invadir outros computadores e distribuir o malware neles. Os seguintes nomes de usuários foram identificados como parte do código:

Admin, Administrator, alex, asus, backup, boss, buh, ftp, ftpadmin, ftpuser, Guest, manager, nas, nasadmin, nasuser, netguest, operator, other user, rdp, rdpadmin, rdpuser, root,superuser, support, Test, User, User1, user-1, work

As seguintes credenciais são testadas com a lista acima mencionada:

111111, 123, 123321, 1234, 12345, 123456, 1234567, 12345678,123456789, 1234567890, 321, 55555, 777, 77777, Admin, Admin123, admin123Test123, Administrator, administrator, Administrator123, administrator123, adminTest, god, Guest, guest, Guest123, guest123, love, password, qwe, qwe123, qwe321, qwer, qwert, qwerty, qwerty123, root, secret, sex, test, test123, uiop, User, user, User132, user123, zxc, zxc123, zxc321,zxcv

 

O Bad Rabbit se espalha para outras máquinas, fazendo cópias de si mesmo na rede, usando o nome original e executando as cópias em por meio do Windows Management Instrumentation (WMI) e o Service Control Manager. Quando o protocolo remoto do Service Control Manager é usado, ele usa ataques de dicionário para as credenciais.

Em relação às ferramentas que o Bad Rabbit incorpora, o utilitário de código aberto Mimikatz, é usado para a extração de credenciais. A Trend Micro também encontrou evidências desse dado usando o DiskCryptor, uma legítima ferramenta de criptografia de disco, para criptografar os alvos de destino. É importante notar, sustentam os analistas da Trend Micro, que o Bad Rabbit não explora quaisquer vulnerabilidades, ao contrário de Petya que usou EternalBlue e a vulnerabilidade do Windows como parte de sua rotina. Fonte: Security Report, acesso em 25 de outubro de 2017.

 

Um pesquisador confirmou que existe uma medida preventiva para algumas das cepas do vírus Bad Rabbit. As seguintes etapas devem ser tomadas:

Uma vez que o vírus infectou o sistema, as seguintes precauções podem ser tomadas para evitar que o malware infecte a máquina.

Crie o seguinte arquivo – C:\Windows\infpub.dat

Crie o seguinte arquivo – C:\Windows\cscc.dat

Remova todas as permissões herdadas dos arquivos que desativam a interação com o sistema.

Observe que esse método pode não funcionar em todos os casos, pois uma maneira garantida de excluir as instâncias encontradas refere-se às nossas informações abaixo.

proteção contra o bad rabbit gratuita para seu pc

RansomFree protege contra cerca de 99% dos ransomwares, inclusive o Bad Rabbit ransomware

 

Remover o virus Bad Rabbit e Restaurar o PC

ATENÇÃO! A remoção manual do vírus Bad Rabbit requer estar familiarizado com arquivos e registros do sistema. A remoção de dados importantes acidentalmente pode levar ao dano permanente do sistema. Se você não se sentir à vontade com as instruções manuais, baixe alguma ferramenta anti-malware que irá verificar seu sistema em busca de malware e limpá-lo com segurança.

 

Bad Rabbit Virus – Passos para remoção manual

Inicie o PC em modo Seguro com rede

Isso isolará todos os arquivos e objetos criados pelo ransomware para que eles sejam removidos de forma eficiente. As etapas abaixo são aplicáveis ​​a todas as versões do Windows.

1. Pressione as teclas  WIN Key + R

2. Digite msconfig e tecle Enter

3. Uma caixa de configuração deve aparecer. Nele escolha a guia chamada Boot

4. Marque a opção Safe Boot option e depois vá para a Network  sob ele para assinalar isso também

5. Apply -> OK

 

Remover o Bad Rabbit do Windows

Aqui está uma maneira de remover o programa. Este método funcionará independentemente se você estiver em Windows 10, 87Vista ou XP. O simples ato de selecionar o programa e pressionar apagar não funcionará, pois deixará muitos arquivos pequenos. Isso é ruim porque essas sobras podem demorar e causar todos os tipos de problemas. A melhor maneira de excluir um programa é desinstalá-lo. Veja como você pode fazer isso:

1. Pressione as teclas WIN+R.

run-window-windows

2. Digite “appwiz.cpl” e pressione “Enter”.

appwiz-cpl-command-run-windows

3. Em “Programs and features” procure o programa suspeito e pressione “Uninstall“.

uninstall-malicious-software-control-panel-programs-features-windows

 

Remover o Bad Rabbit Virus do seu Browser

Antes de redefinir as configurações do seu navegador, você deve saber que esta ação eliminará todos os nomes de usuário, senhas e outros tipos de dados registrados. Certifique-se de salvá-los de alguma forma.

Guia de remoção do Mozilla Firefox, o procedimento é parecido para outros navegadors, consulte as configurações de cada um.

1. No Mozilla Firefox. Selecione “Add-ons“, conforme a imagem abaixo.

add-ons-mozilla-removal-browser-hijacker-guide

2. No Add-ons Manager selecione “Extensions“. Procure na lista de extensões para entradas suspeitas. Se você encontrar algum, selecione-os e clique em “Remove“.
remove-suspicious-extensions-mozilla-removal-browser-hijacker-guide

3. Clique novamente no ícone do menu e, em seguida, clique em “Options“.
options-mozilla-firefox-removal-browser-hijacker-guide

4. Escolha a opção “General” e clique em “Restore to Default“.
restore-to-default-settings-mozilla-firefox-removal-guide-browser-hijacker

5. Selecione“Search” no menu da esquerda, marque o mecanismo de pesquisa desconhecido e pressione “Remove”.
search-remove-unknown-search-engine-mozilla-firefox-removal-guide-browser-hijacker

 

Reparar o Registro do Windows

1. Pressione as teclas WIN Key + R

2. Digite regedit e tecle Enter

3. Digite CTRLF e depois escreva o nome malicioso no campo do tipo de pesquisa para localizar o executável mal-intencionado.

4. Caso descubra chaves de registro e valores relacionados ao nome, você deve excluí-los, mas tenha cuidado para não excluir chaves legítimas.

 

Medidas Preventivas de Segurança

 Ative e configure corretamente seu Firewall.

 Instale e mantenha um software anti-malware confiável.

 Proteja seu navegador Web.

 Verifique regularmente as atualizações de software disponíveis e aplique-as.

 Desabilite macros do Office.

 Use senhas fortes.

 Não abra anexos ou clique em links, a menos que esteja certo de que eles estão seguros.

 Faça backup regularmente de seus dados.

 

Lista de sites afetados pelo Bad Rabbit que sugerem falso Flash

“Alguns sites populares estão comprometidos com JavaScript injetado em seu corpo HTML ou em um de seus arquivos .js”, informa a ESET. São eles:

  • hxxp://argumentiru[.]com
  • hxxp://www.fontanka[.]ru
  • hxxp://grupovo[.]bg
  • hxxp://www.sinematurk[.]com
  • hxxp://www.aica.co[.]jp
  • hxxp://spbvoditel[.]ru
  • hxxp://argumenti[.]ru
  • hxxp://www.mediaport[.]ua
  • hxxp://blog.fontanka[.]ru
  • hxxp://an-crimea[.]ru
  • hxxp://www.t.ks[.]ua
  • hxxp://most-dnepr[.]info
  • hxxp://osvitaportal.com[.]ua
  • hxxp://www.otbrana[.]com
  • hxxp://calendar.fontanka[.]ru
  • hxxp://www.grupovo[.]bg
  • hxxp://www.pensionhotel[.]cz
  • hxxp://www.online812[.]ru
  • hxxp://www.imer[.]ro
  • hxxp://novayagazeta.spb[.]ru
  • hxxp://i24.com[.]ua
  • hxxp://bg.pensionhotel[.]com
  • hxxp://ankerch-crimea[.]ru

 

Referências

https://bestsecuritysearch.com/remove-bad-rabbit-virus-computer/ acesso em 25 de outubro de 2017.

https://www.techtudo.com.br/noticias/2017/10/bad-rabbit-ransomware.ghtml acesso em 25 de outubro de 2017.