Cosa è e come funziona
Il ransomware Bad Rabbit NON è ancora arrivato in Italia ma nell’est Europa ha già colpito pesantemente.
Sfortunatamente si teme una diffusione enorme come avvenne per WannaCry e Petya.
Non faccio allarmismi e non voglio competere con le news che puoi leggere su testate nazionali: ti faccio un super riassunto e ti dico come puoi difenderti (almeno dalla versione che c’è in giro oggi).
Innanzitutto smentiamo la notizia che il virus si diffonde con un aggiornamento di Flash.
Flash ha i suoi bravi buchi, ma questa volta non c’entra nulla. E’ un virus che si spaccia per un aggiornamento di Flash e utilizza tecnologie diverse e sofisticate mischiandole insieme.
Bad Rabbit utilizza Mimikatz per recuperare le credenziali in memoria e usa un protocollo come SMB per accedere a pc e workstation e infettarli “in remoto”, non mancando di cifrare i dati e bloccare l’hard disk in modo da rendere i sistemi inutilizzabili finché non viene pagato il riscatto.
Dal punto di vista tecnico diciamo che Bad Rabbit si spaccia per un aggiornamento di Flash in quanto quello che l’utente scarica è un file che si chiama install_flash_player.exe.
Una volta scaricato e mandato in esecuzione install_flash_player.exe ecco quello che succede:
- viene creato il file C:\Windows\infpub.dat e viene a sua volta mandato in esecuzione con il comando C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat, #1 15;
- vengono generati i file C:\Windows\cscc.dat e C:\Windows\dispci.exe;
- cscc.dat non è altro che una copia (con nome diverso) di dcrypt.sys un componente di DiskCryptor;
- il file infpub.dat crea poi un servizio Windows Client Side Caching Driver utilizzato per lanciare il secondo file, il dispci.exe;
- infopub.dat crea poi un task schedulato che lancia dispci.exe quando l’utente si collega al pc;
- insieme i file cscc.dat e dispci.exe vengono utilizzati per cifrare i dati e modificare il settore di avvio del pc (MBR) in modo da richiedere il riscatto all’utente quando il pc si riavvia;
- la cifratura dei file aggiunge la parola encrypted alla fine del nome dei file però non ne cambia le estensioni;
- fatto tutto questo infpub.dat cerca anche di infettare i computer “vicini” attraverso il protocollo SMB usando le credenziali che ha recuperato sul pc della vittima.
Come difendersi?
Al di là di considerazioni sempre valide, come installare aggiornamenti di sistemi operativi e patch e aggiornare le applicazioni presenti sui PC, per questa particolare variante pare esserci un antidoto efficace.
E’ sufficiente creare i file:
- c:\windows\infpub.dat;
- c:\windows\cscc.dat;
e rimuovere TUTTE le autorizzazioni, in modo che non possano andare in esecuzione.
Aggiungo una nota giuntami dal sempre attento Luca Sasdelli: è necessario rimuovere l’ereditarietà dai due file in questione, una volta copiati in c:\windows.
Ah dimenticavo, se utilizzi software RMM come Kaseya VSA e AEM, con un click ti togli il problema di torno.
Se hai Kaseya, eccoti lo script fatto e finito.
Se hai AEM, nel ComStore (raggiungibile da dentro AEM stesso) c’è un component “ufficiale”.
Se hai AEM e vuoi un componente made in Italy eccoti il component scritto da Emilio Polenghi, che ringrazio pubblicamente per averlo reso disponibile.
In entrambi i casi testalo su qualche macchina prima di lanciare il “vaccino” a tappeto.