In rete c’è un nuovo ransomware chiamato “Bad Rabbit”, lo segnalano gli esperti di diverse società di sicurezza come Kaspersky Labs, Eset e Proofpoint. Secondo questi enti sono almeno 200 le vittime finora di questa nuova potenziale famiglia di questo nuovo ransomware, che per ora ha colpito maggiormente in Russia e in minor numero in Ucraina, Turchia e Germania. Non si esclude, ovviamente, un arrivo anche dalle nostre parti.
Già nel 2017 ci sono già stati attacchi ransomware, sono stati infatti diffusi Petya, NotPetya e WannaCry, con Bad Rabbit prosegue l’attività dei cybercriminali nella diffusione di malware con riscatto.
Kaspersky scrive il modo in cui i cybercriminali stanno diffondendo questo nuovo ransomware, il tutto viene attivato da un finto installer di Adobe Flash Player e viene distribuito con l’aiuto del “drive-by attacks”, praticamente mentre vengono visitati siti infettati, quindi compromessi, viene scaricato il malware, che cerca poi di diffondersi anche nella rete locale a cui è collegato il sistema infettato grazie al protocollo SMB ovvero un protocollo usato principalmente per condividere file, stampanti, porte seriali e comunicazioni di varia natura tra diversi nodi di una rete.
Una volta che Bad Rabbit infettail sistema, chiede di registrarsi ad un servizio occultato con la rete Tor e corrispondere un pagamento di 0,05 bitcoin (circa 235 euro), inoltre attiva un conto alla rovescia di 40 ore prima dell’aumento del riscatto.
La lista dei file che Bad Rabbit riesce a criptare sono di uso abbastanza comune, come ad esempio:
.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff. vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip
Ecco alcune schermate una volta contratto il ransomware:
Tutto lo staff Cosmos Network consiglia di verificare di aver aggiornato il proprio sistema operativo Windows con le varie patch di sicurezza e gli update rilasciati da Microsoft, oltre ad effettuare costantemente un backup di sicurezza su hard disk esterno, e rimuovendolo fisicamente dal computer una volta finita la procedura.