O ransomware tem atacado de forma cada vez mais insistente e feito cada vez mais vítimas. Para cada solução que é apresentada, depressa surgem novas formas de ataques e novas formas de explorar vulnerabilidades.
O Bad Rabbit é o mais recente ataque que surgiu e tem estado a atravessar a Europa, deixando no seu caminho vítimas que ficam com os seus dados bloqueados até ao pagamento do resgate.
Este novo ransomware segue a linha de outros recentes e está a ter uma propagação rápida e a ser usado maioritariamente contra empresas e organismos estatais.
Segundo os investigadores de segurança que o têm estado a analisar e a avaliar, este ransomware usa os mesmos mecanismos do ExPetr, um outro ransomware que fez estragos recentemente.
O ataque do Bad Rabbit
Para infetar as vítimas, o Bad Rabbit está a fazer uso de vários sites importantes (a agência noticiosa russa, o aeroporto internacional de Odessa e outros) e que foram comprometidos para albergarem uma versão alterado do Adobe Flash. Ao executarem o ficheiro que foi descarregado, o ataque inicia-se e em algumas horas os ficheiros estão bloqueados.
Para libertar as máquinas e ter acesso aos ficheiros, as vítimas são encaminhadas pelos atacantes para um site alojado na rede Tor, onde é exigido o pagamento de 0.05 bitcoins, cerca de 240 euros. São dadas 40 horas para realizar o pagamento ou o preço irá aumentar.
Os alvos do Bad Rabbit
O Bad Rabbit tem estado a ter uma atividade maior no norte da Europa, na Rússia, Ucrânia, Turquia e Alemanha, mas lentamente tem alargado a sua presença a países mais a sul e até fora da Europa. Há já registos de máquinas afetadas no Japão e nos Estados Unidos e espera-se que nos próximos dias atinja novos alvos.
Já existe uma vacina para o Bad Rabbit
No meio do caos que tem causado, uma boa notícia acabou por surgir: um investigador de segurança descobriu uma forma de impedir o ataque do Bad Rabbit.
I can confirm – Vaccination for #badrabbit:
Create the following files c:windowsinfpub.dat && c:windowscscc.dat – remove ALL PERMISSIONS (inheritance) and you are now vaccinated. 🙂 pic.twitter.com/5sXIyX3QJl— Amit Serper (@0xAmit) October 24, 2017
Aparentemente, basta criar 2 ficheiros (c:\windows\infpub.dat e c:\windows\cscc.dat) e remover-lhes todas as permissões. A forma de criar estes ficheiros e de remover as permissões pode ser vista aqui.
Os especialistas de segurança recomendam ainda que o serviço WMI do Windows seja desativado para impedir a propagação do Bad Rabbit a máquinas vizinhas nas redes.
Os estragos causados pelo Bad Rabbit
Provavelmente, o Bad Rabbit terá um impacto menor que o WannaCry ou o NotPetya, mas não deixa de ser um alerta para os problemas que o ransomware traz e a forma como é, aparentemente, simples de se propagar.