We wtorek (24.10) pojawiło się kolejne złośliwe oprogramowanie typu ransomware o nazwie „BadRabbit”. Według doniesień głównych producentów oprogramowania antywirusowego, od kilku dni wirus zbiera żniwo głównie na Ukrainie i w Rosji, aczkolwiek odnotowano też przypadki w Bułgarii, Turcji, Japonii, Stanach Zjednoczonych, Korei Południowej i Polsce.

Źródłem ataku z zewnątrz są przede wszystkim zarażone domeny (.ua i .ru). Informują one użytkownika o nieaktualnej wtyczce Flash Player, podając link do fałszywego instalatora, zawierającego BadRabbit. Po infekcji wirus stara się w rozprzestrzenić w sieci lokalnej, czyli w obrębie routera bądź switch’a, wykorzystując mechanizm znany z WannaCry (Poradnik jak wyłączyć usługę SMB). Kolejnym etapem jest szyfrowanie dysków.

Według Amita Serpera, badacza ds. bezpieczeństwa, odpowiedzialnego między innymi za analizę innego ransomware, NotPetya, wystarczy wykonać „szczepionkę”. Metodę potwierdza między innymi Kaspersky Lab.

Aby zaszczepić komputer przed ransomware BadRabbit:

 

1. Uruchom wiersz polecenia z uprawnieniami administratora:

Naciśnij start, wpisz ‚cmd’, naciśnij prawym klawiszem myszy i wybierz opcję „Uruchom jako administrator”.

 

 

2. Po uruchomieniu, wklej następujące polecenia i zatwierdź kazde z nich enterem:

 

echo > C:\Windows\infpub.dat && echo > C:\Windows\cscc.dat

icacls C:\Windows\infpub.dat /inheritance:r && icacls C:\Windows\cscc.dat /inheritance:r

 

 

 

 

3. Ciesz się szczepionką :). Na chwilę obecną Twój komputer jest nieco bezpieczniejszy.

opracował: inż. Wojciech Półtorak

Źródło:

• https://www.cybereason.com/blog/cybereason-researcher-discovers-vaccine-for-badrabbit-ransomware
• https://twitter.com/0xamit?lang=en
• https://www.dobreprogramy.pl/Bad-Rabbit-uderzyl-w-Ukraine-i-szyfruje-pliki-jak-leci.-Jak-sie-zabezpieczyc,News,83889.html