O que aconteceu?

No dia 24 de Outubro de 2017, às 18:06, a Securelist da Kaspersky, observou diversas notificações de um ataque em massa provocado por um ransomware chamado Bad Rabbit (do português Coelho do Mal). Organizações e consumidores são os principais alvos do ransomware, principalmente na Rússia, porém, casos na Ucrânia, Turquia e Alemanha já foram identificados.

A imagem que os usuários infectados estão recebendo é a seguinte:

O estilo de ataque, como a imagem que aparece na hora do sequestro, são bem parecidos com o Petya (outro grande ataque de ransomware em 2017), porém fontes indicam que ambos os malwares não tem ligação.

Como o Bad Rabbit é distribuído?

O ransomware utiliza-se da técnica dropper (programas que, secretamente, malwares nos computadores, desenvolvidos em seu próprio código) com a ajuda de ataques drive-by (cibercriminosos procuram sites que não estão 100% protegidos, e injetam linhas de códigos com os arquivos maliciosos, que serão baixados automaticamente). Quando o usuário está navegando no site, o malware está sendo baixado.

Brechas na segurança não estão sendo utilizados: após o download dos arquivos corrompidos, os usuários necessitam executá-lo para realizar a infecção.

O principal programa que o Bad Rabbit está se “disfarçando”, no momento do download, é o Adobe Flash Player. Ao clicar no instalador, a máquina é capturada.

Quem ele ataca?

A maioria dos ataques está localizado na Rússia, porém deve chegar ao Brasil entre hoje (25/10) no período da manhã, até amanhã à tarde (26/10).

Como se proteger

? Bloqueie os arquivos conhecidos de infecção c:\windows\infpub.dat e c:\Windows\cscc.dat

? Desabilite o serviço WMI (caso seu ambiente permita) para prevenir que o ransomware espalhe na sua rede!

? Atualize seus backups!!

? Não pague o ransomware em caso de infecção, isso não é garantia que seus dados voltarão.