ATENCIÓN! Bad Rabbit lo que necesitas saber y extra.dat para detectarlo

  • 12
  • 25 octubre, 2017

BADRABBIT

¿QUÉ ES BAD RABBIT?

¿Escuchaste de Bad Rabbit?, la nueva cepa de ransomware, se disfrazó como una actualización de Flash, fue detectada por primera vez el 24 de octubre. Hasta la fecha, los sistemas atacados se han limitado principalmente a Rusia y Ucrania. El ransomware es la tercera gran propagación de malware este año: sigue las cepas de código malicioso WannaCry y NotPetya de mayor alcance. Esto es lo que sabemos sobre Bad Rabbit hasta el momento.

El ransomware Bad Rabbit se propaga a través de ataques “drive-by”, en este caso, el malware está disfrazado como un instalador de Adobe Flash. Cuando se abre el archivo de aspecto inocente, comienza a bloquear la computadora infectada. La descarga de Flash se ha instalado en sitios web que usan JavaScript inyectado en los archivos HTML o Java de los sitios web afectados. El malware no se instala automáticamente, lo que significa que se debe hacer clic para que funcione.

Si una persona hace clic en el instalador malicioso (y dado el número de actualizaciones de Flash emitidas, esto es muy probable), su computadora se bloquea. La nota de rescate y la página de pago demandan alrededor de $ 280 en Bitcoin y da un plazo de 40 horas para que se realicen los pagos.

¿A QUIÉN HA GOLPEADO?

La mayoría de los objetivos se encuentran en Rusia y Ucrania, afectando al Metro de Kiev, el aeropuerto de Odessa y principalmente webs de medio de comunicación, también se han presentado casos en Turquía y Alemania.

¿DE DÓNDE VIENE?

El análisis encontró que el ransomware explota el bloque de mensajes del servidor, que también se vio en NotPetya. Malwarebytes concluye que Bad Rabbit es “probablemente preparado por los mismos autores” como NotPetya.

Sin embargo, Bad Rabbit no parece ser tan sofisticado como las otras cepas de ransomware de este año. No explota la vulnerabilidad Eternal Blue de Windows almacenada por la NSA, para lo cual Microsoft ha emitido parches.

 

DETECCIÓN Y RECOMENDACIONES

Nombre del archivo:

630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da.exe

FlashUtil.exe

 

Tipo de archivo:

El malware inicia una línea de comandos con los siguientes valores:

Cmd /c schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR “C:\Windows\system32\cmd.exe /C Start \”\” \”C:\Windows\dispci.exe\” -id 1082924949 && exit”

“/ TN rheagal” se refiere a una cuenta del sistema con el nombre rhaegal utilizado para crear la tarea programada e iniciar el archivo ransomware

El malware utiliza los siguientes comandos para borrar registros de seguridad y eliminar el número de secuencia de actualización (USN) change journal, que se usa para recuperar archivos, por ejemplo:

Cmd /c wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D C:

Actualmente hay tres muestras asociadas con esta campaña de ransomware, que representan el cuentagotas y el ejecutable principal:

630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da

8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648

RECOMENDAMOS

+INFORMACIÓN

https://securingtomorrow.mcafee.com/mcafee-labs/badrabbit-ransomware-burrows-russia-ukraine/

Ante cualquier duda o inquietud no dudes en contactarnos:

Pablo Renzo

prenzo@ransecurity.com

Leave a Reply

CONTACTO

E-mail: Soporte técnico: helpdesk@ransecurity.com Info: expertos@ransecurity.com
RANSecurity Argentina: (+54 11) 5353 9999
RANSecurity Chile: Tel: (+562) 3223 9532
RANSecurity Perú: Tel: (+51 1) 711 4764