Acesso ao suporte/chamados

[Ataque Ransomware / Bad Rabbit] - Boletim XSITE

Caros clientes, atenção!

Vimos pelo presente alertá-los quanto a mais nova praga virtual (Bad Rabbit). Preliminarmente, sabe-se que o malware (Ransomware) afetou sistemas em sites russos, um aeroporto na Ucrânia e uma estação ferroviária na capital, Kiev.

                                        
Figura 01 - Sistema criptografado por ataque Bad Rabbit.


O ataque começa quando você recebe uma mensagem oferecendo uma atualização do software Adobe Flash Player, e, uma vez instalado, procura fazer o movimento lateral usando EternalBlue ou Mimikatz. A variante tem recebido o nome "Bad rabbit", por tanto, não façam essa atualização.


Quando um usuário clica nessas notificações, um arquivo chamado install_flash_player.exe será baixado. Quando o install_flash_player.exe for executado, será disparado um arquivo chamado C:\Windows\infpub.dat e executado usando o comando C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat, # 1 15.

                                                                     
Figura 02 - Infpub.dat Executed via Rundll32.exe
 
Uma vez executado, o Infpub.dat criará os arquivos C:\Windows\cscc.dat e C:\Windows\dispci.exe. O arquivo Cscc.dat é realmente uma cópia renomeada do dcrypt.sys do DiskCryptor, então o Infpub.dat criará um serviço do Windows chamado Windows Client Side Caching DDriver que é usado para iniciar o driver cscc.dat. O Infpub.dat também criará uma tarefa agendada que lança o arquivo dispci.exe quando o usuário fizer logon no computador. Esta tarefa programada é chamada Rhaegal, - um dos dragões da série Game of Thrones¹-. Esta tarefa agendada executará o comando "C:\Windows\dispci.exe" -id [id] && exit.

O driver cscc.dat, juntamente com o arquivo dispci.exe, são usados para criptografar o disco e modificar o registro de inicialização exibindo em sequência a tela de resgate apresentada abaixo quando a vítima liga o computador.

                                                          
                            Figura 03 - Bad Rabbit Boot Lock Screen.

A chave de criptografia AES usada para criptografar os arquivos será criptografada com uma chave pública incorporada RSA-2048 que também executará uma criptografia do modo usuário nos arquivos no computador da vítima.

O ataque global, deve atingir o Brasil nas próximas horas.

Dos procedimentos:
Por enquanto, recomendamos o bloqueio da URL: 1dnscontrol[.]com/flash_install.php

e deste hash MD5:

fbbdc39af1139aebba4da004475e8839 ou SHA1: de5c8d858e6e41da715dca1c019df0bfb92d32c0.

Dicas para todos:

Faça backup de seus dados;
Não pague o resgate.

Mais sobre:

Fonte McAfee: https://securingtomorrow.mcafee.com/mcafee-labs/badrabbit-ransomware-burrows-russia-ukraine/
Fonte: F-Secure: https://www.f-secure.com/v-descs/trojan_w32_rabbad.shtml
Fonte: Kaspersky https://www.kaspersky.com/blog/bad-rabbit-ransomware/19887/
Fonte: http://www.cbsi.net.br/2017/10/ransomware-apelidado-de-coelho-mal-ataca-paises-no-mundo.html
 
¹ Nota: O código-fonte Bad Rabbit também contém várias referências do jogo Game of Thrones. O ransomware também configura três tarefas agendadas denominadas Drogon, Rhaegal e Viserion, que significa o nome dos três dragões do Game of Thrones.

Outras informações ligar ou enviar e-mail para suporte@xsite.com.br.
 
Em caso de dúvidas, estamos à disposição.
 

71 3342.7274 | comercial@xsite.com.br

Rua Edístio Pondé, 353, Salas 807 e 808, Edf. Empresarial Tancredo Neves | Stiep, Salvador - BA - Cep: 41.770-395.

Melhor visualização