Sécurité

Bad Rabbit un nouveau Ransomware s’attaque à l’Europe

Méthode de vaccination inside

Les ransomwares sont toujours là, alors qu’on les avaient presque oublié (ou pas). Un nouveau ransomware baptisé BadRabbit fait beaucoup de mal à la Russie, l’Ukraine, la Turquie, la Bulgarie, et s’attaque maintenant à l’Europe du nord et notamment à l’Allemagne.

Parmi les victimes confirmées figurent l’aéroport d’Odessa en Ukraine, le réseau de métro de Kiev en Ukraine, le ministère ukrainien des infrastructures et trois agences de presse russes, dont Interfax et Fontanka.

Bad Rabbit semble se propager aussi vite que WannaCry et NotPetya qui avaient mis un beau bordel en mai et juin dernier.

Une solution de vaccination se trouve un peu plus bas dans l’article.

D’après ESET l’infection est effectué à travers une fausse mise à jour Flash Player, cependant, comme ces prédécesseurs, il utilise une méthode à base de SMB pour se propager à travers le réseau. Toujours d’après l’analyse d’ ESET, Bad Rabbit utiliserai Mimikatz pour extraire les informations d’identification de la mémoire de l’ordinateur local et, avec une liste d’informations codées en dur, tente d’accéder aux serveurs et stations de travail via le même réseau. et WebDAV.

Bon, et puis une fois que le malware est bien en place, il ne vous laisse pas tranquille, il chiffrera vos données pour remplacera le MBR (Master Boot Record). Après un petit reboot, vous aurez le droit à la petite note qui vous demandera un peu d’argent, contre une éventuelle restitution de vos données.

Comme toujours, il est vivement déconseillé de payé tout type de rançon.

La rançon demandé est de 0.05 Bitcoin, (soit environ 280$ au moment on j’écris ces lignes), vous avez ensuite quelques heures pour payer avant que la rançon n’augmente (rien que ça !).

L’analyse étant encore en cours, il n’y a pas vraiment de solution de déchiffrement ou de suppression du malware. Cependant, comme toujours, les préconisations se font en amont via beaucoup de prévention :

  • Backup, Backup, Backup…
  • Mettez à jour votre ordinateur et programmes
  • N’ouvrez pas les emails dont le destinataires vous est inconnu
  • Et ne cliquez pas sur des liens sans réfléchir !!

Kaspersky recommande également de désactiver le service WMI (Windows Management Instrumentation) sur les postes si il n’est pas utilisé.

Par contre, noircchack sur twitter viens de m’informer d’une méthode pour bloquer le virus et éviter d’être infecté. C’est Amit Serper qui a trouvé cette solution assez simple. Il suffirait de créer deux fichiers c:\windows\infpub.dat && c:\windows\cscc.dat et d’y supprimer toute permissions.

Voici un petit script qui vous permettra de faire ça rapidement :

echo "Ceci est un fichier de vaccination contre Bad Rabbit. Merci de ne pas le supprimer." > C:\Windows\cscc.dat
icacls C:\Windows\cscc.dat /inheritance:r
echo "Ceci est un fichier de vaccination contre Bad Rabbit. Merci de ne pas le supprimer." > C:\Windows\infpub.dat
icacls C:\Windows\infpub.dat /inheritance:r

Bad Rabbit Info

Hashes:

install_flash_player.exe: 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
infpub.dat: 579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648
cscc.dat (dcrypt.sys): 0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6 
dispci.exe: 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

Files:

C:\Windows\infpub.dat
C:\Windows\System32\Tasks\drogon
C:\Windows\System32\Tasks\rhaegal
C:\Windows\cscc.dat
C:\Windows\dispci.exe

Registry entries:

HKLM\SYSTEM\CurrentControlSet\services\cscc
HKLM\SYSTEM\CurrentControlSet\services\cscc\Type	1
HKLM\SYSTEM\CurrentControlSet\services\cscc\Start	0
HKLM\SYSTEM\CurrentControlSet\services\cscc\ErrorControl	3
HKLM\SYSTEM\CurrentControlSet\services\cscc\ImagePath	cscc.dat
HKLM\SYSTEM\CurrentControlSet\services\cscc\DisplayName	Windows Client Side Caching DDriver
HKLM\SYSTEM\CurrentControlSet\services\cscc\Group	Filter
HKLM\SYSTEM\CurrentControlSet\services\cscc\DependOnService	FltMgr
HKLM\SYSTEM\CurrentControlSet\services\cscc\WOW64	1

Ransom Note:

Oops! Your files have been encrypted.

If you see this text, your files are no longer accessible.
You might have been looking for a way to recover your files.
Don't waste your time. No one will be able to recover them without our
decryption service.

We guarantee that you can recover all your files safely. All you
need to do is submit the payment and get the decryption password.

Visit our web service at caforssztxqzf2nm.onion

Your personal installation key#1:

Network Activity:

Local & Remote SMB Traffic on ports 137, 139, 445
caforssztxqzf2nm.onion

Files extensions targeted for encryption:

.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

Embedded RSA-2048 Key:

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA5clDuVFr5sQxZ+feQlVvZcEK0k4uCSF5SkOkF9A3tR6O/xAt89/PVhowvu2TfBTRsnBs83hcFH8hjG2V5F5DxXFoSxpTqVsR4lOm5KB2S8ap4TinG/GN/SVNBFwllpRhV/vRWNmKgKIdROvkHxyALuJyUuCZlIoaJ5tB0YkATEHEyRsLcntZYsdwH1P+NmXiNg2MH5lZ9bEOk7YTMfwVKNqtHaX0LJOyAkx4NR0DPOFLDQONW9OOhZSkRx3V7PC3Q29HHhyiKVCPJsOW1l1mNtwL7KX+7kfNe0CefByEWfSBt1tbkvjdeP2xBnPjb3GE1GA/oGcGjrXc6wV8WKsfYQIDAQAB 

Source

Mikaël GUILLERM

Administrateur Système et Autoentrepreneur depuis 2009 pour la société zerobug. Je partage mes connaissances, problèmes et solutions à travers articles ou tweets !

Articles similaires

2 commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page