Kaspersky Lab alerta de un ataque masivo de virus extorsionador BAD RABBIT

Como ya avisabamos esta mañana, un nuevo ransomware que se conoce como BAD RABBIT, se hace pasar por una actualización del ADOBLE FLASH PLAYER y se ha empezado a propagar hoy empezando por Europa del Este, Rusia, Ucrania, Turquía y Alemania

A estas horas ya lo controlan la mayoría de los antivirus, pero no hay que bajar la guardia, y una vez mas se pide la máxima atención a los usuarios de ordenadores, que toda precaución es poca !

total de esta tarde (25-10-2017) sobre el BAD RABBIT

MOSCÚ (Sputnik) — La empresa rusa de seguridad informática Kaspersky Lab registró un ataque masivo de virus extorsionador contra empresas de Rusia, así como de Ucrania, Turquía y Alemania, informó a Sputnik el jefe del departamento de estudios antivirus de la compañía, Viacheslav Zakorzhevski.

“Según nuestras observaciones, la mayoría de las víctimas de los ataques se encuentran en Rusia; además observamos ataques similares en Ucrania, Turquía, Alemania, pero en cantidad mucho más reducida”, dijo.

Añadió que “el virus extorsionador se propaga a través de páginas web infectadas de algunos medios de información rusos”.

Zakorzhevski precisó que hay todos los indicios de que se trata de un ataque orientado contra las redes corporativas.

Anteriormente, el metro de Kiev y el aeropuerto de Odesa denunciaron ataques cibernéticos contras sus sistemas de información y bancarias. La agencia rusa de información Interfax y el portal Fontanka.ru también informaron haber sufrido ciberataques.

Ver información original al respecto en Fuente:

Y para evitar ser una víctima de Bad Rabbit, los usuarios de los productos de Kaspersky Lab deben:

Asegurarse de que tienen activados tanto System Watcher como Kaspersky Security Network. En el caso de que no, es muy importante activar dichas características.
Otros usuarios deben:

Bloquear la ejecución de los archivos c:\windows\infpub.dat y c:\Windows\cscc.dat.
Desactivar el servicio WMI (si es posible en tu entorno) para prevenir que el malware se extienda por tu red.

COMENTARIO segun indicado por Hispasec:

Dicho nuevo ransomware BAD RABBIT, cifra tambien extensiones .ova, .ovf, vmc, etc, típicas de ficheros de máquinas virtuales, por lo que van a perderse también los ficheros de dichos ordenadores virtuales tanto de VMware como de Microsoft… :

La lista completa de extensiones afectadas podemos verla a continuación.

.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .x ml .xvd .zip

La mayoría de extensiones son las más comunes entre el ransomware, aunque esta vez incluye objetivos como archivos de maquinas virtuales para los distintos sistemas de virtualización además de ficheros comprimidos, documentos de Office, vídeo, código (.java, .c, .cpp, etc)

Se puede observar también que existen directorios que no se ven afectados por el ransomware. Los directorios \\Windows, \\Program Files, \\ProgramData y \\AppData no son cifrados.

Este malware necesita permisos de creación de archivos en carpetas que requieren privilegios de administrador. Por tanto, si el ransomware no es ejecutado como administrador y existen unas políticas correctas en el sistema no se llegará a ejecutar con éxito. Otra manera de evitar la infección, es crear un archivo C:\perfc.dat con permisos de READ-ONLY (sólo lectura) que al estar presente provocará que el ransomware no siga realizando ninguna acción.

Fuente : Hispasec

saludos

ms, 25-10-2017