Início » Segurança » Um ataque do ransomware Bad Rabbit está causando estragos em diversos países

Um ataque do ransomware Bad Rabbit está causando estragos em diversos países

Por
25/10/2017 às 11h02
Já conhece a nova extensão do Tecnoblog? Baixe Agora

“Oops! Seus arquivos foram criptografados.” Diversos computadores na Rússia e no Leste Europeu estão exibindo esta mensagem desde terça-feira (24), exigindo que o usuário pague US$ 280 em bitcoin para recuperar acesso aos próprios dados.

Trata-se do malware “Bad Rabbit”. De acordo com a Kaspersky Lab, ele se espalhou através de um instalador falso do Adobe Flash Player, e foi distribuído através de sites legítimos de notícias, que foram invadidos e modificados.

Segundo a empresa de segurança Group-IB, ele atingiu três meios de comunicação russos, incluindo as agências de notícias Interfax e Fontanka; assim como o aeroporto de Odessa, o metrô de Kiev e o Ministério de Infraestrutura da Ucrânia. Turquia e Alemanha também foram afetadas.

Este ataque é direcionado contra redes corporativas, diz a Kaspersky, mas ainda não se sabe quem está por trás do malware. De acordo com a ESET, o Bad Rabbit tenta infectar computadores dentro da mesma rede local através do protocolo de compartilhamento de dados SMB.

A mensagem de resgate pede às vítimas que visitem um site no Tor e paguem 0,05 Bitcoin. Caso isso não seja feito dentro de 40 horas, o valor aumenta — uma contagem regressiva deixa isso bem claro:

O criador do Bad Rabbit parece ser fã de Game of Thrones. O malware cria duas tarefas agendadas com nomes de dragões de Daenerys Targaryen, e tem uma referência ao Verme Cinzento:

Para evitar a invasão, o pesquisador de segurança Amit Serper​ recomenda criar os arquivos vazios C:\windows\infpub.dat e C:\windows\cscc.dat e remover todas as permissões deles (leitura, gravação etc.). Confira as instruções passo a passo dessa vacina aqui.

O Bad Rabbit é uma variante do malware Petya. Mas, ao contrário do NotPetya — que afetou milhares de computadores ao redor do mundo, inclusive no Brasil — ele não apaga seus arquivos.

Com informações: Motherboard, TechCrunch, Bleeping Computer.

  • Leandro

    mais um dia, mais um ransomware

  • Henrique Seraph

    Num mundo onde quase todos já usam nuvem, não é relativamente fácil se livrar do vírus e recuperar os arquivos depois de formatar a máquina?

    • tenho minhas duvidas se “quase todos” usam pra todos os arquivos. Bem, no final “mundo” depende da perspectiva.

    • Renan

      Conheço muitas empresas que preferem fazer backups em HDs externos para reduzir custos com serviços de terceiros. E muitas outras que sequer fazem backups.

      • Henrique Seraph

        A minha inclusive, faz. um sabe com ataques assim não aprendam a migrar pra nuvem?

        • brunocabral

          Ao invés de nuvem, fazer backup semanal em uma máquina sem acesso a internet é a rede local

          • Henrique Seraph

            aqui na empresa fez isso e adiantou em nada, o virus pode muito bem ficar inativo por um tempo até ser ativado

    • André Kittler

      Nesse mundo sim, será. Aposto que nos próximos 10 anos ele chega (apenas torço, do fundo do coração, que não…)

    • Felipe Xavier

      Quando tivermos uma internet minimamente decente, talvez isso se torne realidade. Upload e Download deveriam ter a mesma velocidade, mas em grande parte das conexões não é.
      Meu caso é ainda mais grave, a única operadora na cidade, oferece up variando entre 800Kbps e 2Mbps, em qualquer plano “comum”. Como subir gigas e mais gigas deste jeito, para ter backup em nuvem?

      • Henrique Seraph

        eu mre refiro mais a grandes empresas (que são os mais afetados), mas entendo a dificuldade da nuvem msm

    • Tanto eu, quanto a empresa que trabalho prefere o backup em mídia física. Deixar dados sensíveis nas mãos de terceiros não é uma boa ideia. https://uploads.disquscdn.com/images/df0d8a6d354ca4c094f893629926484f66cd11705c50401d8e8a48ca996c62ba.png

      • Henrique Seraph

        como se servidor próprio fosse, como pode notar pelo ataque dito na matéria

        • brunocabral

          Existem soluções alternativas como usar máquina sem acesso a rede local para backup.

  • Cortana ✔

    Windows 10 1709 é a melhor solução no momento!
    https://www.theregister.co.uk/2017/10/23/fyi_windows_10_ransomware_protection/

  • Marcogro®

    Não ei até que ponto criar “vacinas” em arquivos espalhados pelo PC resolveriam de fato… Talvez até resolvam de imediato, mas quem me garante que esses arquivos não venham a ser explorados no futuro, na próxima atualização do nível de maldade dessas e de outras pragas…

  • Jose X.

    No Such Agency & Windows: tudo a ver

  • Leandro Dogue

    Nessa onda de ramsonware, eu só acho que o pessoal é muito ambicioso em cobrar U$280 para o resgate dos dados, se cobrassem sei lá, no máximo uns 15 dólares, acredito que ganhariam mais pela quantidade de usuários que estariam dispostos a pagar pela recuperação pois esse valor alto assusta muita gente que no final, acaba preferindo deixar de lado mesmo.

    • Por isso que o foco deve ser servidores ou profissionais que dependem dos dados(advogados, fotografos, DJs). Aí será mais fácil pagar os 280 USD que começar tudo do 0 e passar a vergonha de falar que perdeu os dados.

      • Jhonathan Correa

        Duro é pagar e não ter os dados de volta. Por isso é recomendável não pagar.

  • Daniel

    Uma variante do Malware Petya? Vish!

  • Mais um dia normal no mundo da tecnologia.

    • Jose X.

      Mais um dia normal no mundo da tecnologia.Windows

  • Amilton Cspro

    A cada dia é um ramsomware novo ou uma nova votação de denúncia contra o temer. Cada uma delas tem o seu custo para todos nós.

  • Henrique

    Já to acostumado com essas coisas ;p

  • Molinex

    Mais um?
    Isso não acaba?
    Deve ser legal pagar licença, pagar antivirus, e ter seus dados sequestrados…

    • Bruno Vieira

      Mas não atualizar pra um pacote de correção que saiu em março é demais, né hahah

      • Molinex

        Tem que ver se a correção já se aplica a esse caso…
        A transmissão na rede acontece da mesma forma dos anteriores, mas a infecção se da de modo diferente, através do flash(!?!!)
        E outra, por que tem um mano ensinando a criar arquivos na raiz, e esta chamando de vacina, se o pacth de correção já evitaria o ranson?

        • Discípulo do nada

          provavelmente é algo que o vírus precisa criar para ser instalado, se criar isto sem permissão de acesso o vírus não consegue se instalar

          • Molinex

            Sim, provavelmente… Agora é esperar que lancem um novo patch, pro usuário não ter que se virar, criando “vacinas” pra não perder tudo…

  • Essa do SMB vai “forçar” muitas empresas a atualizaram na marra seus sistemas, antes que o estrago comece a ficar maior.
    E isso é só o começo

    • Trodat 4924

      aqui na empresa ta sendo um inferno desde os primeiros ransomwares

  • Marcos Henrique

    Executei o procedimento indicado por Amit Serper e funcionou acesse: http://www.100security.com.br/bad-rabbit/