Bad Rabbit: Há um novo ransomware a atacar na Europa

O ransomware tem atacado de forma cada vez mais insistente e feito cada vez mais vítimas. Para cada solução que é apresentada, depressa surgem novas formas de ataques e novas formas de explorar vulnerabilidades.

O Bad Rabbit é o mais recente ataque que surgiu e tem estado a atravessar a Europa, deixando no seu caminho vítimas que ficam com os seus dados bloqueados até ao pagamento do resgate.

Este novo ransomware segue a linha de outros recentes e está a ter uma propagação rápida e a ser usado maioritariamente contra empresas e organismos estatais.

Segundo os investigadores de segurança que o têm estado a analisar e a avaliar, este ransomware usa os mesmos mecanismos do ExPetr, um outro ransomware que fez estragos recentemente.

O ataque do Bad Rabbit

Para infetar as vítimas, o Bad Rabbit está a fazer uso de vários sites importantes (a agência noticiosa russa, o aeroporto internacional de Odessa e outros) e que foram comprometidos para albergarem uma versão alterado do Adobe Flash. Ao executarem o ficheiro que foi descarregado, o ataque inicia-se e em algumas horas os ficheiros estão bloqueados.

Para libertar as máquinas e ter acesso aos ficheiros, as vítimas são encaminhadas pelos atacantes para um site alojado na rede Tor, onde é exigido o pagamento de 0.05 bitcoins, cerca de 240 euros. São dadas 40 horas para realizar o pagamento ou o preço irá aumentar.

Os alvos do Bad Rabbit

O Bad Rabbit tem estado a ter uma atividade maior no norte da Europa, na Rússia, Ucrânia, Turquia e Alemanha, mas lentamente tem alargado a sua presença a países mais a sul e até fora da Europa. Há já registos de máquinas afetadas no Japão e nos Estados Unidos e espera-se que nos próximos dias atinja novos alvos.

Já existe uma vacina para o Bad Rabbit

No meio do caos que tem causado, uma boa notícia acabou por surgir: um investigador de segurança descobriu uma forma de impedir o ataque do Bad Rabbit.

I can confirm - Vaccination for #badrabbit:
Create the following files c:windowsinfpub.dat && c:windowscscc.dat - remove ALL PERMISSIONS (inheritance) and you are now vaccinated. 🙂 pic.twitter.com/5sXIyX3QJl

— Amit Serper​ (@0xAmit) October 24, 2017

Aparentemente, basta criar 2 ficheiros (c:\windows\infpub.dat e c:\windows\cscc.dat) e remover-lhes todas as permissões. A forma de criar estes ficheiros e de remover as permissões pode ser vista aqui.

Os especialistas de segurança recomendam ainda que o serviço WMI do Windows seja desativado para impedir a propagação do Bad Rabbit a máquinas vizinhas nas redes.

Os estragos causados pelo Bad Rabbit

Provavelmente, o Bad Rabbit terá um impacto menor que o WannaCry ou o NotPetya, mas não deixa de ser um alerta para os problemas que o ransomware traz e a forma como é, aparentemente, simples de se propagar.