CryptoLocker

Bad Rabbit: nuova ondata di ransowmare violento, ecco come fermarlo

25 Ottobre 2017

Cosa è e come funziona

Il ransomware Bad Rabbit NON è ancora arrivato in Italia ma nell'est Europa ha già colpito pesantemente.
Sfortunatamente si teme una diffusione enorme come avvenne per WannaCry e Petya.

Non faccio allarmismi e non voglio competere con le news che puoi leggere su testate nazionali: ti faccio un super riassunto e ti dico come puoi difenderti (almeno dalla versione che c'è in giro oggi).
 

Innanzitutto smentiamo la notizia che il virus si diffonde con un aggiornamento di Flash. 

Flash ha i suoi bravi buchi, ma questa volta non c'entra nulla. E' un virus che si spaccia per un aggiornamento di Flash e utilizza tecnologie diverse e sofisticate mischiandole insieme.

Bad Rabbit utilizza Mimikatz per recuperare le credenziali in memoria e usa un protocollo come SMB per accedere a pc e workstation e infettarli "in remoto", non mancando di cifrare i dati e bloccare l'hard disk in modo da rendere i sistemi inutilizzabili finché non viene pagato il riscatto.

Dal punto di vista tecnico diciamo che Bad Rabbit si spaccia per un aggiornamento di Flash in quanto quello che l'utente scarica è un file che si chiama install_flash_player.exe.

Una volta scaricato e mandato in esecuzione install_flash_player.exe ecco quello che succede:

  • viene creato il file C:Windowsinfpub.dat e viene a sua volta mandato in esecuzione con il comando C:Windowssystem32rundll32.exe C:Windowsinfpub.dat, #1 15;
  • vengono generati i file C:Windowscscc.dat e C:Windowsdispci.exe;
  • cscc.dat non è altro che una copia (con nome diverso) di dcrypt.sys un componente di DiskCryptor;
  • il file infpub.dat crea poi un servizio Windows Client Side Caching Driver utilizzato per lanciare il secondo file, il dispci.exe;
  • infopub.dat crea poi un task schedulato che lancia dispci.exe quando l'utente si collega al pc;
  • insieme i file cscc.dat e dispci.exe vengono utilizzati per cifrare i dati e modificare il settore di avvio del pc (MBR) in modo da richiedere il riscatto all'utente quando il pc si riavvia;
  • la cifratura dei file aggiunge la parola encrypted alla fine del nome dei file però non ne cambia le estensioni;
  • fatto tutto questo infpub.dat cerca anche di infettare i computer "vicini" attraverso il protocollo SMB usando le credenziali che ha recuperato sul pc della vittima.

Come difendersi?

Al di là di considerazioni sempre valide, come installare aggiornamenti di sistemi operativi e patch e aggiornare le applicazioni presenti sui PC, per questa particolare variante pare esserci un antidoto efficace.

E' sufficiente creare i file:
 

  • c:windowsinfpub.dat;
  • c:windowscscc.dat;

e rimuovere TUTTE le autorizzazioni, in modo che non possano andare in esecuzione.
Aggiungo una nota giuntami dal sempre attento Luca Sasdelli: è necessario rimuovere l'ereditarietà dai due file in questione, una volta copiati in c:windows.

Ah dimenticavo, se utilizzi software RMM come Kaseya VSA e AEM, con un click ti togli il problema di torno.

Se hai Kaseya,  eccoti lo script fatto e finito.
Se hai AEM, nel ComStore (raggiungibile da dentro AEM stesso) c'è un component "ufficiale".

Se hai AEM e vuoi un componente made in Italy eccoti il component scritto da Emilio Polenghi, che ringrazio pubblicamente per averlo reso disponibile.

In entrambi i casi testalo su qualche macchina prima di lanciare il "vaccino" a tappeto.

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (2)

@Tony: puoi fare un file batch con dentro questi comandi:

@echo off
echo >> C:Windowsinfpub.dat && echo >> C:Windowscscc.dat
icacls C:Windowsinfpub.dat /inheritance:r /inheritance:d && icacls C:Windowscscc.dat /inheritance:r /inheritance:d
echo Bad Rabbit vaccination process completed.

Claudio Panerai,

Ciao e grazie per l’articolo..scusate la domanda ignorante ma come creo i due file sopracitati e come rimuovo l’ereditarietà? Se vado in C:windows posso solo creare cartelle..non so creare file .dat. Grazie !

Antonio Proce,

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.