iSecurify

Internet, Security & Forensics

  • Inicio
  • Blog
  • Sobre mi
  • Categorías
    • Ciberseguridad Industrial
    • Privacidad y Protección de Datos Personales
    • Hacking Ético
    • Análisis Forense Digital
    • Auditoría de Sistemas
  • Colaboradores
  • Contacto

Bad Rabbit

25 October, 2017 by Joan Figueras Leave a Comment

“Bad Rabbit” es el nombre de un nuevo malware de tipo ransomware aparecido en los últimos días (las primeras noticias son del 24 de octubre). Según The Hacker News este malware fue detectado inicialmente en Rusia y en las horas siguientes parece que se extendió por Ucrania, Turquía y Alemania.

“Bad Rabbit” no usa exploits, si no que infecta a los equipos mediante el método de “drive-by“, es decir, es el propio usuario quién descarga y ejecuta el archivo instalador del malware.  En esta ocasión, cuando el usuario visita una página web infectada, un falso aviso solicita instalar Adobe Flash Player, en cuanto el usuario pulsa “Aceptar” en realidad se descarga e instala el ejecutable del malware.  Según Kaspersky, la mayoría de sitios web comprometidos corresponden a páginas de prensa o medios rusos.

Se trata de un ransomware, por lo tanto cifra los archivos del equipo y solicita el pago de un rescate (ransom) para obtener la clave de descifrando.  La cantidad solicitada es de 0,05 bitcoin (unos 235 euros).

Del análisis técnico realizado por Kaspersky en Securelist se desprende lo siguiente:

  • el dropper se distribuye desde hxxp://1dnscontrol[.]com/flash_install.php
  • el ejecutable descargado es install_flash_player.exe
  • utiliza DiskCryptor para cifrar los archivos
  • los archivos C:\Windows\infpub.dat y C:\Windows\cscc.dat son los que cifran los datos de la víctima (el primero de ellos instala el ejecutable dispci.exe).

Según Microsoft, este ransomware busca y cifra los archivos con las siguientes extensiones:
.3ds, .7z, .accdb, .ai, .asm, .asp, .aspx, .avhd, .back, .bak, .bmp, .brw, .c, .cab, .cc, .cer, .cfg, .conf, .cpp, .crt, .cs, .ctl, .cxx, .dbf, .der, .dib, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .hpp, .hxx, .iso, .java, .jfif, .jpe, .jpeg, .jpg, .js, .kdbx, .key, .mail, .mdb, .msg, .nrg, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .ora, .ost, .ova, .ovf, .p12, .p7b, .p7c, .pdf, .pem, .pfx, .php, .pmf, .png, .ppt, .pptx, .ps1, .pst, .pvi, .py, .pyc, .pyw, .qcow, .qcow2, .rar, .rb, .rtf, .scm, .sln, .sql, .tar, .tib, .tif, .tiff, .vb, .vbox, .vbs, .vcb, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmtm, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xml, .xvd, .zip

Captura de pantalla de la dirección .onion donde solicita el rescate

Filed Under: Análisis Forense Digital Tagged With: Ciberseguridad, Malware

Leave a Reply Cancel reply

You must be logged in to post a comment.

  • Ciberseguridad Industrial
  • Privacidad y Protección de Datos
  • Hacking Ético
  • Auditoría de Sistemas
  • Análisis Forense Digital

Sígueme en:

Buscador

Etiquetas:

Blockchain CAINE Ciberseguridad Cybersecurity Directiva NIS Eventos Forense I40 ICS Malware Smart Car

Mis tuits:

Tweets by JoanFiguerasT

Blogs de interés:

  • – Gobierno de la ciberseguridad
  • – Enredando con Redes
  • – Perito IT
  • – Security by Default
  • – SCADAHacker
iSecurify | Internet, Security & Forensics

Servicios profesionales de ciberseguridad y protección de la información.

Peritaje informático y tecnológico.

  • Sobre mi
  • Blog
  • Eventos
  • Colaboradores
  • Contacto
  • Sitemap
  • Categorías
  • Ciberseguridad Industrial
  • Hacking Ético
  • Auditoría de Sistemas
  • Análisis Forense Digital
  • Privacidad y Protección de Datos

Joan Figueras Tugas

Certificado CISA, CISM (ISACA)
Perito Judicial #110 (ACPJT)

Copyright © 2023 · Joanfi on Genesis Framework · WordPress · Log in