Sécurité

Bad Rabbit un nouveau Ransomware s’attaque à l’Europe

Méthode de vaccination inside

Les ransomwares sont toujours là, alors qu’on les avaient presque oublié (ou pas). Un nouveau ransomware baptisé BadRabbit fait beaucoup de mal à la Russie, l’Ukraine, la Turquie, la Bulgarie, et s’attaque maintenant à l’Europe du nord et notamment à l’Allemagne.

Parmi les victimes confirmées figurent l’aéroport d’Odessa en Ukraine, le réseau de métro de Kiev en Ukraine, le ministère ukrainien des infrastructures et trois agences de presse russes, dont Interfax et Fontanka.

Bad Rabbit semble se propager aussi vite que WannaCry et NotPetya qui avaient mis un beau bordel en mai et juin dernier.

Une solution de vaccination se trouve un peu plus bas dans l’article.

D’après ESET l’infection est effectué à travers une fausse mise à jour Flash Player, cependant, comme ces prédécesseurs, il utilise une méthode à base de SMB pour se propager à travers le réseau. Toujours d’après l’analyse d’ ESET, Bad Rabbit utiliserai Mimikatz pour extraire les informations d’identification de la mémoire de l’ordinateur local et, avec une liste d’informations codées en dur, tente d’accéder aux serveurs et stations de travail via le même réseau. et WebDAV.

Bon, et puis une fois que le malware est bien en place, il ne vous laisse pas tranquille, il chiffrera vos données pour remplacera le MBR (Master Boot Record). Après un petit reboot, vous aurez le droit à la petite note qui vous demandera un peu d’argent, contre une éventuelle restitution de vos données.

Comme toujours, il est vivement déconseillé de payé tout type de rançon.

La rançon demandé est de 0.05 Bitcoin, (soit environ 280$ au moment on j’écris ces lignes), vous avez ensuite quelques heures pour payer avant que la rançon n’augmente (rien que ça !).

L’analyse étant encore en cours, il n’y a pas vraiment de solution de déchiffrement ou de suppression du malware. Cependant, comme toujours, les préconisations se font en amont via beaucoup de prévention :

  • Backup, Backup, Backup…
  • Mettez à jour votre ordinateur et programmes
  • N’ouvrez pas les emails dont le destinataires vous est inconnu
  • Et ne cliquez pas sur des liens sans réfléchir !!

Kaspersky recommande également de désactiver le service WMI (Windows Management Instrumentation) sur les postes si il n’est pas utilisé.

Par contre, noircchack sur twitter viens de m’informer d’une méthode pour bloquer le virus et éviter d’être infecté. C’est Amit Serper qui a trouvé cette solution assez simple. Il suffirait de créer deux fichiers c:\windows\infpub.dat && c:\windows\cscc.dat et d’y supprimer toute permissions.

Voici un petit script qui vous permettra de faire ça rapidement :

Bad Rabbit Info

Hashes:

Files:

Registry entries:

Ransom Note:

Network Activity:

Files extensions targeted for encryption:

Embedded RSA-2048 Key:

Source

Étiquettes

Mikaël GUILLERM

Administrateur Système et Autoentrepreneur depuis 2009 chez homeinformatique. Je partage mes connaissances, problèmes et solutions a travers articles ou tweets !

Articles similaires

  • Fred Frédéric

    Très bon article merci pour l’info 🙂

  • Julien Farcy

    Merci pour l’info !

Découvrez également

Fermer
Fermer