Bad Rabbit ransowmare: ecco come fermarlo

Cosa è e come funziona

Innanzitutto smentiamo la notizia che il virus si diffonde con un aggiornamento di Flash in realtà è un virus che si spaccia per un aggiornamento di Flash e utilizza tecnologie diverse e sofisticate mischiandole insieme.

Bad Rabbit utilizza Mimikatz per recuperare le credenziali in memoria e usa un protocollo come SMB per accedere a pc e workstation e infettarli “in remoto”, non mancando di cifrare i dati e bloccare l’hard disk in modo da rendere i sistemi inutilizzabili finché non viene pagato il riscatto.

Dal punto di vista tecnico diciamo che Bad Rabbit si spaccia per un aggiornamento di Flash in quanto quello che l’utente scarica è un file che si chiama install_flash_player.exe.

Una volta scaricato e mandato in esecuzione install_flash_player.exe ecco quello che succede:

  • viene creato il file C:\Windows\infpub.dat e viene a sua volta mandato in esecuzione con il comando C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat, #1 15;
  • vengono generati i file C:\Windows\cscc.dat e C:\Windows\dispci.exe;
  • cscc.dat non è altro che una copia (con nome diverso) di dcrypt.sys un componente di DiskCryptor;
  • il file infpub.dat crea poi un servizio Windows Client Side Caching Driver utilizzato per lanciare il secondo file, il dispci.exe;
  • infopub.dat crea poi un task schedulato che lancia dispci.exe quando l’utente si collega al pc;
  • insieme i file cscc.dat e dispci.exe vengono utilizzati per cifrare i dati e modificare il settore di avvio del pc (MBR) in modo da richiedere il riscatto all’utente quando il pc si riavvia;
  • la cifratura dei file aggiunge la parola encrypted alla fine del nome dei file però non ne cambia le estensioni;
  • fatto tutto questo infpub.dat cerca anche di infettare i computer “vicini” attraverso il protocollo SMB usando le credenziali che ha recuperato sul pc della vittima.

Come difendersi?

Al di là di considerazioni sempre valide, come installare aggiornamenti di sistemi operativi e patch e aggiornare le applicazioni presenti sui PC, per questa particolare variante pare esserci un antidoto efficace.

E’ sufficiente creare i file:

  • c:\windows\infpub.dat;
  • c:\windows\cscc.dat;

e rimuovere TUTTE le autorizzazioni, in modo che non possano andare in esecuzione.

Questa voce è stata pubblicata in Virus. Contrassegna il permalink.