BadRabbit: il nuovo ransomware che circola in Europa

Nuovo ransomware Bad Rabbit

Notizia salita alla ribalda poche ore fa riguardo ad un nuovo ransomware che ha iniziato a circolare anche in Europa, il quale ha infettato PC di organizzazioni Europee principalmente Russe e Tedesche.

Se pur attualmente non abbia raggiunto il livello di infezioni di WannaCry, il quale sfruttava un exploit per insidiarsi nella macchina, “Bad rabbit“, questo il nome, si installa facendo credere alla vittima di essere un aggiornamento di Flash Player, tuttavia non è escluso che qualora ci fossero varianti  si possa “mascherare” anche da altro programma.

Alcune software house di programmi di sicurezza, pensano che Bad Rabbit sia una variante dell’odioso “NotPetya” salito alla ribalta per essere un “wiper cioè un ransomware che chiede il riscatto ma non permette comunque il recupero dei file cifrati con la chiave poi fornita. Per via di questi motivi, e anche per questione di principio, non bisogna cedere al ricatto pagando la cifra chiesta, attualmente 0,05 bitcoin equivalenti a circa 270€.

Il virus una volta insediatosi nella macchina si diffonde anche ai PC della stessa rete infettandoli a loro volta, molto probabilmente sfruttando qualche falla non sanata da aggiornamenti già rilasciati in passato. Una volta avviata l’infezione il PC verrà riavviato più volte fino a giungere ad una schermata nera che avvisa appunto dell’avvenuta criptazione dei file, mostrando un link web e in aggiunta più in basso, un hash personale da usare sulla pagina web per pagare e ottenere la password per sbloccare i nostri file.

Pagina di boot con l'avviso di Bad Rabbit

Qui sotto una demo di due macchine virtuali che vengono entrambe infettate da “Bad Rabbit

Il dominio, a cui si giunge solo tramite TOR browser, mostra un contatore a mò di countdown con il tempo prima che il prezzo del riscatto aumenti, circolano in rete varie schermate prese da un MAC, ma credo che questo dipenda dal fatto che i MAC al momento sono immuni da questo virus, quindi possono visualizzare la pagina in modo “sicuro”.

Pagina web che mostra il conto alla rovescia prima dell'incremento del prezzo di riscatto

Il solito consiglio è quello di possedere tutti i programmi (antivirus compresi) e Windows aggiornati, prestando massima attenzione a link, programmi e mail, perché la prima arma di difesa è sempre la prudenza.