informatica, internet, windows, windows 10

Bad Rabbit: nuova ondata di ransowmare violento, ecco come fermarlo

Pubblicato da Alex30Reds il

Cosa è e come funziona

Il ransomware Bad Rabbit NON è ancora arrivato in Italia ma nell’est Europa ha già colpito pesantemente.
Sfortunatamente si teme una diffusione enorme come avvenne per WannaCry e Petya.

Non faccio allarmismi e non voglio competere con le news che puoi leggere su testate nazionali: ti faccio un super riassunto e ti dico come puoi difenderti (almeno dalla versione che c’è in giro oggi).

Innanzitutto smentiamo la notizia che il virus si diffonde con un aggiornamento di Flash.

Flash ha i suoi bravi buchi, ma questa volta non c’entra nulla. E’ un virus che si spaccia per un aggiornamento di Flash e utilizza tecnologie diverse e sofisticate mischiandole insieme.

Bad Rabbit utilizza Mimikatz per recuperare le credenziali in memoria e usa un protocollo come SMB per accedere a pc e workstation e infettarli “in remoto”, non mancando di cifrare i dati e bloccare l’hard disk in modo da rendere i sistemi inutilizzabili finché non viene pagato il riscatto.

Dal punto di vista tecnico diciamo che Bad Rabbit si spaccia per un aggiornamento di Flash in quanto quello che l’utente scarica è un file che si chiama install_flash_player.exe.

Una volta scaricato e mandato in esecuzione install_flash_player.exe ecco quello che succede:

  • viene creato il file C:\Windows\infpub.dat e viene a sua volta mandato in esecuzione con il comando C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat, #1 15;
  • vengono generati i file C:\Windows\cscc.dat e C:\Windows\dispci.exe;
  • cscc.dat non è altro che una copia (con nome diverso) di dcrypt.sys un componente di DiskCryptor;
  • il file infpub.dat crea poi un servizio Windows Client Side Caching Driver utilizzato per lanciare il secondo file, il dispci.exe;
  • infopub.dat crea poi un task schedulato che lancia dispci.exe quando l’utente si collega al pc;
  • insieme i file cscc.dat e dispci.exe vengono utilizzati per cifrare i dati e modificare il settore di avvio del pc (MBR) in modo da richiedere il riscatto all’utente quando il pc si riavvia;
  • la cifratura dei file aggiunge la parola encrypted alla fine del nome dei file però non ne cambia le estensioni;
  • fatto tutto questo infpub.dat cerca anche di infettare i computer “vicini” attraverso il protocollo SMB usando le credenziali che ha recuperato sul pc della vittima.

Come difendersi?

Al di là di considerazioni sempre valide, come installare aggiornamenti di sistemi operativi e patch e aggiornare le applicazioni presenti sui PC, per questa particolare variante pare esserci un antidoto efficace.

E’ sufficiente creare i file:

  • c:\windows\infpub.dat;
  • c:\windows\cscc.dat;

rimuovere TUTTE le autorizzazioni, in modo che non possano andare in esecuzione.
Aggiungo una nota: è necessario rimuovere l’ereditarietà dai due file in questione, una volta copiati in c:\windows.

Lascia un commento

Blog su WordPress.com.