“Bad Rabbit” es el nombre de un nuevo malware de tipo ransomware aparecido en los últimos días (las primeras noticias son del 24 de octubre). Según The Hacker News este malware fue detectado inicialmente en Rusia y en las horas siguientes parece que se extendió por Ucrania, Turquía y Alemania.
“Bad Rabbit” no usa exploits, si no que infecta a los equipos mediante el método de “drive-by“, es decir, es el propio usuario quién descarga y ejecuta el archivo instalador del malware. En esta ocasión, cuando el usuario visita una página web infectada, un falso aviso solicita instalar Adobe Flash Player, en cuanto el usuario pulsa “Aceptar” en realidad se descarga e instala el ejecutable del malware. Según Kaspersky, la mayoría de sitios web comprometidos corresponden a páginas de prensa o medios rusos.
Se trata de un ransomware, por lo tanto cifra los archivos del equipo y solicita el pago de un rescate (ransom) para obtener la clave de descifrando. La cantidad solicitada es de 0,05 bitcoin (unos 235 euros).
Del análisis técnico realizado por Kaspersky en Securelist se desprende lo siguiente:
- el dropper se distribuye desde hxxp://1dnscontrol[.]com/flash_install.php
- el ejecutable descargado es install_flash_player.exe
- utiliza DiskCryptor para cifrar los archivos
- los archivos C:\Windows\infpub.dat y C:\Windows\cscc.dat son los que cifran los datos de la víctima (el primero de ellos instala el ejecutable dispci.exe).
Según Microsoft, este ransomware busca y cifra los archivos con las siguientes extensiones:
.3ds, .7z, .accdb, .ai, .asm, .asp, .aspx, .avhd, .back, .bak, .bmp, .brw, .c, .cab, .cc, .cer, .cfg, .conf, .cpp, .crt, .cs, .ctl, .cxx, .dbf, .der, .dib, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .hpp, .hxx, .iso, .java, .jfif, .jpe, .jpeg, .jpg, .js, .kdbx, .key, .mail, .mdb, .msg, .nrg, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .ora, .ost, .ova, .ovf, .p12, .p7b, .p7c, .pdf, .pem, .pfx, .php, .pmf, .png, .ppt, .pptx, .ps1, .pst, .pvi, .py, .pyc, .pyw, .qcow, .qcow2, .rar, .rb, .rtf, .scm, .sln, .sql, .tar, .tib, .tif, .tiff, .vb, .vbox, .vbs, .vcb, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmtm, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xml, .xvd, .zip
Captura de pantalla de la dirección .onion donde solicita el rescate