Bad Rabbit virus - Come rimuoverlo?

Il virus ransomware Bad Rabbit non scherza e il 24 ottobre 2017 è stata rilevata un’enorme epidemia globale. La situazione è molto simile a quella delle infezioni di WannaCry e NotPetya . Bad Rabbit non è completamente una minaccia ransomware in quanto si ritiene che abbia caratteristiche della versione nuova e migliorata di Petya. Come forse già sapete, , NotPetya è stato determinato per essere un codificatore del disco o una serpe in altre parole Il malware Bad Rabbit arriva nei sistemi operativi come un file install_flash_player.exe. Lascia anche i file infpub.dat, rundll32.exe nel disco C.

Principali sintomi di Bad Rabbit ransomware, riferimenti a Game of Thrones e crittografia AES

Il ransomware è riuscito a infiltrarsi nei computer, appartenenti a utenti dell’Europa orientale. Questo, ancora una volta, include l’Ucraina, insieme alle regioni di Russia, Bulgaria, Polonia, Stati Uniti, Corea del Sud e Turchia. L’organizzazione e le imprese devono concentrarsi sulla sicurezza informatica in questo momento perché il massiccio attacco del virus di Bad Rabbit potrebbe iniziare a diffondersi ancora più intensamente. Il Ministero delle Infrastrutture ucraino, il sistema di metropolitana e l’aeroporto di Odessa sono diventati vittime di questa infezione. Alcune aziende russe hanno anche segnalato situazioni molto critiche dei loro servizi a causa del malware di Bad Rabbit (Nuovo attacco ransomware colpisce la Russia e si diffonde in tutto il mondo).

La minaccia di Bad Rabbit non solo agisce come un codificatore di dischi, ma crittografa anche i file sui dispositivi delle vittime. Sembra che l’algoritmo AES sia selezionato per questo processo di codifica dei file. Per renderlo più complicato, la chiave di decrittografia generata è ulteriormente codificata con cifratura RSA-2048 che è una strategia popolare per le infezioni ransomware (Bad Rabbit Ransomware colpisce Russia e Ucraina).

Potresti essere sorpreso che l’infezione non aggiunga un’estensione originale agli eseguibili danneggiati. Invece, aggiungerà una stringa marcatore di file “crittografata” alla fine di ogni file danneggiato. Un altro aspetto molto importante di questo ransomware è che sarà in grado di ottenere la capacità di connettersi alla condivisione di rete remota. Ciò significa che l’infezione potrebbe essere trasmessa da un dispositivo a un altro. Originariamente, l’epidemia dovrebbe essere avvenuta dal sito web russo argomentoiru.com. Se si ricorda, nel caso di NotPetya, l’infezione è stata trasmessa dai server M.E.Doc.

Si ritiene che il cripto-virus di Bad Rabbit sia stato generato da fan ossessionati dallo show di Game of Thrones. Tra le informazioni tecniche del ransomware, i ricercatori hanno trovato riferimenti alle famose serie TV, ad esempio, un trio di attività pianificate prende il nome dai famosi draghi di Viserion, Rhaegal e Drogon.

Il virus Bad Rabbit viene fornito attraverso un metodo di download drive-by, in particolare falsi aggiornamenti di Adobe Flash Player. Alcuni domini visitati di frequente sul Web sono stati compromessi in modo che i criminali informatici siano in grado di iniettare JavaScript maligni nel loro corpo HTML o nel loro file .js (Bad Rabbit: Not-Petya è tornato con un ransomware migliorato). Pertanto, una volta che l’utente visita un dominio compromesso, gli verrà offerto di installare un aggiornamento di Flash Player. Dopo che il visitatore accetta di impostare l’aggiornamento, un file da Ldnscontrol.com risulterà essere effettivamente un Win32 / FileCoder.D.

Il codificatore di dischi Bad Rabbit ruba anche i dati delle vittime tentando di comportarsi da spyware. Una volta impostato tutto ciò di cui ha bisogno, insieme alle modifiche apportate al Master Boot Record (MBR), i computer delle vittime non potranno essere completamente avviati. Le persone saranno introdotte alla stessa nota che era presente durante l’attacco NotPetya. Tuttavia, è discutibile se le stesse persone siano dietro il malware Bad Rabbit. Anche se presentano similitudini, ci sono anche molte differenze e solo il 13% dei codici NotPetya viene riutilizzato.

Questo incubo di malware di Bad Rabbit appena rilevato richiede anche che gli utenti entrare in un sito web tramite TOR. Il dominio Caforssztxqzf2nm.onion presenterà un messaggio di testo, insistendo sul fatto che le vittime debbano inserire la loro chiave personale nella casella sottostante. Quindi, se la chiave viene riconosciuta, le vittime verranno introdotte con spiegazioni più dettagliate sul modo in cui è necessario inviare il riscatto. 0,05 BTC è indicato come il riscatto richiesto, che è di circa 274,87 USD. Tuttavia, questa somma non è il riscatto finale: dopo 40 ore di rifiuto delle vittime di pagare, la tassa salirà. Tuttavia, ti incoraggiamo a NON pagare!

Tecniche di distribuzione sfruttate dal virus Bad Rabbit

Abbiamo già indicato che l’infezione si diffonde tramite falsi aggiornamenti di Adobe Flash Player. Sono presentati tramite siti Web legittimi che sono stati compromessi da JavaScript dannosi. Se un dominio casuale ti incoraggia ad installare un aggiornamento, ti preghiamo di rifiutare questa proposta in quanto potresti diventare una vittima di un’infezione così terrificante come Bad Rabbit ransomware. Inoltre, è possibile che il virus inizi a diffondersi da un computer a un altro.

È possibile recuperare i file danneggiati dal cripto-malware Bad Rabbit?

È troppo presto per parlare di possibili strumenti di decodifica per i dati digitali danneggiati.. Prima di tutto, i ricercatori devono iniziare un’analisi approfondita e scoprire se questa è una possibilità o meno. Segui i nostri consigli e fai il backup di tutti i tuoi file che potresti rimpiangere di perdere. Se hai i tuoi file in più posizioni, il ransomware non dovrebbe essere un problema.

Per quanto riguarda la rimozione, le persone devono prestare attenzione. Anche se il server dell’attaccante non è più attivo, l’infezione potrebbe andare per un altro giro di distribuzione. Ricorda, per tenerti al sicuro devi avere un anti-malware affidabile installato nel tuo sistema operativo. Questo include applicazioni software come Spyhunter.

Un vaccine è stato trovato!

Amit Serper ha annunciato un vaccino per questo cyber virus terrorizzante. Segui questi passaggi per essere protetto da virus Bad Rabbit ransomware:

1. Creare i file infpub.dat e cscc.dat in C: Windows.
2. Quindi, rimuovere tutte le autorizzazioni (ereditarietà).
3. Dovresti essere protetto da questa infezione.

Aggiornamento del 27 ottobre: In questo giorno, i ricercatori della sicurezza hanno stabilito che l’infezione da Bad Rabbit utilizzava una versione modificata del’exploit NSA per accelerarne la distribuzione. A causa delle differenze rispetto all’exploit originale, i ricercatori di sicurezza non sono stati in grado di trovarlo all’inizio.

Aggiornamento del 30 ottobre: I ricercatori di Kaspersky hanno fatto una scoperta gioiosa: errori nel funzionamento di Bad Rabbit ransomware ( Valutazione delle opportunità di decodifica ). Grazie a questo giro di eventi, alcune delle vittime potrebbero essere in grado di decifrare i loro dati. Uno degli errori sconvolgenti è il fatto che Bad Rabbit virus non avvia un comando per cancellare tutte le copie shadow del volume. Questo è piuttosto inaspettato in quanto anche campioni di base, HiddenTear, sono in grado di eseguire questo comando. Tuttavia, buone notizie per le vittime: potrebbero essere in grado di recuperare almeno una parte dei loro dati digitali crittografati.

In aggiunta a ciò, i ricercatori di Kaspersky hanno anche capito che per un errore nel codice di dispci.exe: il ransomware non si sbarazza della password generata dalla memoria. Tuttavia, i ricercatori di sicurezza discutono se questo funzionerà per le vere vittime del virus Bad Rabbit.

Come rimuovere Bad Rabbit virus utilizzando il Ripristino di Sistema?

1. Riavvia il tuo computer in Modalità Provvisoria con Prompt di Comandi

Per Windows 7 / Vista/ XP

• Start → Spegni → Riavvia → OK.
• Premi ripetutamente F8 finché non apparirà una finestra contenente le opzioni avanzate di avvio.
• Scegli la Modalità Provvisoria con Prompt di Comandi.

Per Windows 8 / 10

• Premi Power nella schermata di login di Windows. Successivamente tieni premuto Shift e clicca su Riavvia.
• Scegli Troubleshoot → Opzione Avanzate → Impostazioni di avvio e clicca Riavvia.
• Non appena si caricherà, seleziona Abilita Modalità Provvisoria con Prompt di Comandi dalla lista delle impostazioni di avvio.

2. Ripristinare i file di sistema e le impostazioni

• Una volta caricato il Prompt dei Comandi, inserisci cd restore e premi invio.
• Successivamente digita rstrui.exe e premi nuovamente invio.
• Clicca “Avanti” nelle finestre che appariranno.
• Seleziona uno dei punti di ripristino disponibili prima che Bad Rabbit virus si sia infiltrato nel tuo sistema e clicca su “Avanti”.
• Per avviare il ripristino di sistema clicca su "Si"

2. Rimozione complete di Bad Rabbit virus

Dopo aver ripristinato il tuo sistema, ti consigliamo di scansionare il tuo computer con un anti-malware, come Spyhunter per rimuovere tutti i file malevoli collegati a Bad Rabbit virus.

3. Ripristino dei file corrotti da Bad Rabbit virus utilizzando le Copie Shadow

Se non utilizzassi le opzioni di ripristino di sistema nel tuo sistema operativo, esiste anche la possibilità di utilizzare gli snapshot delle copie shadow. Queste ultime salvano copie dei tuoi file nel momento in cui lo snapshot viene creato. Solitamente Bad Rabbit virus cercherà di cancellare tutte le copie Shadow esistenti, per questo motivo questo metodo potrebbe non funzionare su tutti i computer. Tuttavia, provare non costa nulla.

Le Copie Shadow sono disponibili solo su Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Esistono due modi per recuperare i tuoi file attraverso le copie Shadow. Potrai farlo sia tramite le versioni precedenti di Windows sia tramite Shadow Explorer.

a) Versioni precedenti di Windows

Clicca con il destro sul file criptato e seleziona Proprietà>Versioni precedenti. Adesso sarai in grado di vedere tutte le copie esistenti di quel particolare file e il momento in cui sono state salvate come Copie Shadow. Scegli la versione del file che vuoi recuperare e clicca su Copia, nel caso in cui volessi salvarlo in una directory di tua scelta. O Ripristina nel caso in cui volessi sostituirlo con quello esistente, ovvero il file criptato. Se volessi vedere prima il suo contenuto, clicca su Apri.

b) Shadow Explorer

E’ un programma che può essere trovato online gratuitamente. Potrai scaricare sia la versione completa sia quella portatile di Shadow Explorer. Apri il programma. Nell’angolo superiore sinistro seleziona il drive in cui hai salvato il file che vuoi ripristinare. Adesso vedrai tutte le cartelle presenti il quel drive. Per selezionare un’intera cartella, clicca con il destro e seleziona “Esporta”. Successivamente scegli dove vuoi che venga salvata.

Nota: In molti casi è impossibile ripristinare i file corrotti dai moderni ransomware. Per questo motivo ti consiglio di utilizzare per precauzione un buon software per il backup su cloud. Ti consiglio di dare un’occhiata a Carbonite, BackBlaze, CrashPlan o Mozy Home.

Strumenti di Malware rimozione automatica