Bad Rabbit partage environ 13 % du code de Petya

0

Un nouveau ransomware baptisé Bad Rabbit a récemment été détecté et cible pour le moment plus particulièrement la Russie et l’Ukraine (65 % victimes en Russie, 12.2 % en Ukraine, puis Europe de l’est / Turquie et Japon). Ce ransomware qui était inconnu jusqu’à hier, partage environ 13 % du code de Petya et se propage au travers de sites web infectés en se présentant sous la forme d’une installation de Flash Player (install_flash_player.exe).

Une fois exécuté, il se comporte comme un ransomware traditionnel, chiffrant les fichiers et demandant une rançon pour les déchiffrer. Il modifie également le boot loader comme le faisait Petya/notPetya.

Les cybercriminels ont fait preuve d’originalité

Les cybercriminels ont fait preuve d’originalité puisque les développeurs du ransomware se sont manifestement inspirés de Game of Thrones pour ajouter au code du ransomware des références aux personnages de la série.

Pour se protéger, on ne peut que rappeler le respect des quatre règles de base : éduquer les utilisateurs, installer régulièrement les mises à jour, disposer des bons outils de sauvegarde, mettre en œuvre des solutions de protection efficaces qui exploitent l’intelligence artificielle pour détecter et arrêter les menaces même inconnues.

Les chercheurs de SentinelOne ont ainsi confirmé que notre plate-forme de protection des terminaux détecte et bloque immédiatement ce nouveau ransomware, avant exécution et sans besoin de le connaitre.

Techniquement, les 3 fichiers concernés sont:

  • fbbdc39af1139aebba4da004475e8839 – install_flash_player.exe : le dropper.
  • 1d724f95c61f1055f0d02c2154bbccd3 – C:\Windows\infpub.dat : exécuté via rundll32 (contenant mimikatz).
  • b14d8faf7f0cbcfad051cefe5f39645f – C:\Windows\dispci.exe : le chiffreur.

About Author

Patrice Puichaud

évangéliste chez SentinelOne

Leave A Reply