Bad Rabbit ransomware is het meest agressieve en gevaarlijke computervirus op dit moment
WannaCry en Petya zijn niet de enige virussen die bekendheid verwierven tijdens wereldwijde cyberaanvallen. Bad Rabbit-ransomware, waarvan wordt vermoed dat het een nieuwe variant is van Petya/NietPetya/ExPetr, heeft op 24 oktober Rusland, Oekraïne, Duitsland, Turkije en andere landen wereldwijd zwaar getroffen.
De ransomware versleutelt alle gegevens op de computer en herschrijft Master Boot Record. Bijgevolg herstart de malware het systeem en toont vervolgens een losgeldnota op het scherm. De nieuwe malwarevariant trof al een aantal verschillende landen over de hele wereld, en gezien de snelheid waarmee het zich verspreidt, is het een must om de belangrijkste feiten erover te kennen.
De informatiestroom versnelt en computergebruikers kunnen snel verdwalen omdat elke nieuwssite steeds meer details over het virus geeft. Experts van het VirusActivity-team hebben een factsheet opgesteld over: Bad Rabbit cyberaanval, wat het is en wat computergebruikers moeten weten.
Top 5 dingen die u moet weten over een BadRabbit-cyberaanval
1. De ransomware verspreidt zich via valse Adobe Flash Player-updates.
Volgens experts gebruikten de ontwikkelaars van de ransomware een oude en efficiënte methode voor de distributie van ransomware die afhankelijk is van valse Flash Player-updates.[1] Het lijkt erop dat hackers kwaadaardige JavaScript-codes in de HTML van verschillende websites hebben geïnjecteerd (de meeste zijn dat wel) Russisch, Bulgaars of Turks) en dwong hen op deze manier valse pop-ups te tonen die suggereren om een verouderde Flash te updaten Speler.
Als het slachtoffer op de knop "Installeren" klikt, leidt het kwaadaardige script het slachtoffer om naar domeinen vol malware en downloadt het install_flash_player.exe-bestand. Op dit punt kan het slachtoffer nog steeds een stap terug doen en het gedownloade bestand verwijderen om volledige gegevensbeschadiging te voorkomen. Helaas start de uitvoering van het genoemde bestand meteen het gegevenscoderingsproces.
De ransomware verspreidt zich niet met behulp van de EternalBlue-kwetsbaarheid zoals het NotPetya-virus deed. In plaats daarvan kan Bad Rabbit zich verder verspreiden via SMB-shares.[2]
2. Bad Rabbit is vermoedelijk een verbeterde variant van Petya/NotPetya ransomware
Over de oorsprong van Bad Rabbit gesproken, we moeten de beruchte ransomware noemen die bekend staat als Petya/NotPetya/ExPetr[3]. Beide virussen hebben overeenkomsten en verschillen, maar het meest opvallende detail is dat ze allebei Master Boot Record (MBR) wijzigen en een angstaanjagend bericht op een computerscherm weergeven.
3. Het nieuwe virus is geen wisser en werkt als een echte crypto-ransomware die bestanden onbruikbaar maakt om losgeld te eisen.
BadRabbit is echter geen wisser. Hoewel NotPetya aanvankelijk werd geïdentificeerd als ransomware, bleek uit verdere analyse dat het de gegevens op het doelsysteem permanent corrumpeerde. De schade die door de kwaadaardige lading werd gedragen, kon op geen enkele manier ongedaan worden gemaakt.
De nieuwe variant versleutelt echter bestanden met het hulpprogramma DiskCryptor. Bestanden die zijn gecodeerd door Bad Rabbit hebben een .encrypted bestandsextensie toegevoegd aan hun naam.
4. De ransomware vraagt om 0,05 Bitcoin te betalen
Na het versleutelen van de bestanden op het doelsysteem, wijzigt de malware MBR en start de computer opnieuw op. Als gevolg hiervan komen de slachtoffers een eng uitziend bericht tegen, geschreven in rood op een zwarte achtergrond. De ransomware stelt voor om een verdacht ogende URL te bezoeken die niet toegankelijk is via reguliere webbrowsers.
Het slachtoffer moet de Tor-browser downloaden en installeren om toegang te krijgen tot de betalingswebsite. De website vraagt dan om de persoonlijke identificatiesleutel in te voeren. Door de gegeven sleutel te verstrekken, kan het slachtoffer het Bitcoin-adres van de criminelen zien waar de betaling moet worden overgemaakt. De ransomware geeft 40 uur om de transactie te voltooien. De prijs van het losgeld stijgt zodra 40 uur verstrijken.
5. Geen manier om bestanden te decoderen die zijn versleuteld door Bad Rabbit
Helaas, hoe hard je ook probeert, er is geen manier om bestanden te herstellen die zijn beschadigd door Bad Rabbit-malware. Er is nog steeds enige hoop dat malware-analisten een fout in de ransomware-code kunnen vinden die zou kunnen hen in staat te stellen een werkende decoderingstool te maken, maar op dit moment lijken dergelijke verwachtingen onrealistisch.
Momenteel is de enige manier om bestanden te herstellen die door deze nieuwe ransomware-variant zijn beschadigd, het gebruik van een gegevensback-up.[4] U moet echter eerst de Bad Rabbit-malware verwijderen. Als u niet bekend bent met de beste tools voor het verwijderen van malware tegenwoordig, raden we u ten zeerste aan recensies te lezen op beveiligingsgerelateerde sites zoals: 2-Spyware.com.