Contatta il reparto vendite 800 13.40.41 | Richiedi il Supporto Partner EN flag

Articoli

Icona delle News




BadRabbit ha paura dei computer con Dr.Web: un'indagine sul trojan clamoroso

Il trojan cryptolocker Trojan.BadRabbit

26/10/17 coretech News

×Non sei ancora nostro cliente DrWeb? Diventa Partner CoreTech e visita il nostro configuratore prezzi

Il trojan cryptolocker Trojan.BadRabbit, che nei giorni scorsi veniva discusso attivamente da numerosi mass media, edizioni di rete e dai produttori dei software antivirus, ha cominciato a diffondersi il 24 ottobre e poco dopo (secondo i mass media) ha infettato un grande numero di computer non soltanto nella Russia, ma anche in altri paesi. L'azienda Doctor Web pubblica i preliminari risultati di uno studio di questo programma malevolo. In particolare, il "coniglio cattivo" controllava se sul computer erano in esecuzione i prodotti Dr.Web, e se scopriva i relativi processi, saltava la prima fase di criptazione cercando di evitare il rilevamento. Il malware controllava anche la presenza dei prodotti McAffee.

Il worm Trojan.BadRabbit è costituito da almeno tre componenti: un dropper, un worm encoder e un cryptor di dischi capace anche di svolgere le funzioni di un decryptor. Una volta avviato, il dropper (i suoi campioni disponibili sono presentati sotto forma di un file eseguibile con l'icona dell'installer di Adobe Flash) si carica completamente in memoria. Quindi il trojan salva il worm encoder nel file C:\Windows\infpub.dat, lo esegue tramite il programma di sistema rundll32.exe e termina il proprio processo.

Banner

Il trojan raccoglie informazioni sul computer infetto, e inoltre controlla se sono in esecuzione i processi di due programmi antivirus: Dr.Web e McAfee (in particolare, è interessato ai processi con i nomi dwengine.exe, dwwatcher.exe, dwarkdaemon.exe, dwservice.exe, McTray.exe, mfevtps.exe e mcshield.exe). Se vengono scoperti questi processi, BadRabbit salta la prima fase di criptazione, a quanto pare, per evitare il rilevamento prematuro, ma cerca di lanciare la completa criptazione del disco dopo il riavvio del sistema. In quanto le moderne versioni di Antivirus Dr.Web non permettono la possibilità di modifica del record di avvio (MBR), il tentativo di criptazione dei dischi non ha successo. Così, dalle attività di Trojan.BadRabbit sono completamente protetti gli utenti di Antivirus Dr.Web versione 9.1 e superiori e di Dr.Web KATANA, a condizione che non abbiano modificato le impostazioni della protezione preventiva e non l'abbiano disattivata.

Quindi il cryptor dei dischi controlla gli argomenti del suo processo e se scopre di essere in esecuzione senza gli argomenti, funziona come un decryptor. Prima di iniziare la criptazione, Trojan.BadRabbit esegue una serie di azioni preparatorie, dopodiché crea nello Scheduler di Windows un task di riavvio computer dopo 3 minuti. Successivamente, il trojan cancella il task vecchio ogni 30 secondi e ne crea uno nuovo, costantemente spostando l'ora di esecuzione del task. Questa procedura è probabilmente predisposta per il caso in cui l'utente del computer elimina il trojan prima che la criptazione dei dischi sia completata.

Quindi BadRabbit genera una password per la criptazione dei dischi lunga 32 caratteri, scrive informazioni sul computer in una specifica struttura, la cripta con una chiave pubblica e la salva in un'altra struttura che viene codificata con l'utilizzo dell'algoritmo Base64 e viene salvata nell'MBR. L'algoritmo di crittografia disco e il bootloader sono stati presi in prestito dagli autori del virus dal progetto a codice sorgente aperto Diskcryptor. Il trojan cerca il primo disco di sistema e ci installa il suo bootloader. Più tardi il contenuto di questo disco viene criptato.

Una parte del codice di BadRabbit proviene da Trojan.Encoder.12544, anche conosciuto come NotPetya. Ad avvio l'encoder controlla la presenza del file C:\Windows\cscc.dat e se è disponibile, termina il suo funzionamento (per cui creando un file cscc.dat nella cartella C:\Windows si possono prevenire le conseguenze dannose dell'avvio del trojan). Avviandosi dalla memoria del computer infetto, il worm encoder, se dispone dei privilegi corrispondenti, estrae uno dei due driver in esso conservati, a seconda del numero di bit del sistema operativo. Questi driver sono stati presi in prestito dall'utility di criptazione file a codice sorgente aperto DiskCryptor.

Per avviare questi driver, BadRabbit nel corso del funzionamento cerca di registrare un servizio di sistema "cscc" con la descrizione "Windows Client Side Caching DDriver". Se non riesce a registrarlo, tenta di avviare il driver DiskCryptor con il nome "cdfs" tramite la modifica del registro di sistema.

Come anche Trojan.Encoder.12544, Trojan.BadRabbit impiega le utility Mimikatz per intercettare password delle sessioni aperte in Windows. A seconda del numero di bit dell'SO, esso decomprime la versione dell'utility corrispondente, la salva con un nome arbitrario nella cartella C:\Windows, dopodiché la avvia. Quindi cerca cartelle di rete scrivibili, cerca di aprirle utilizzando credenziali ottenute e di salvaci una sua copia.

Dopo aver eseguito tutte le operazioni preliminari, il trojan crea un task di riavvio computer di nome "drogon". Durante il completamento della sessione, BadRabbit ripulisce i log di sistema e rimuove il task precedentemente creato. L'encoder cripta i file con le estensioni .3ds, .7z, .accdb, .ai, .asm, .asp, .aspx, .avhd, .back, .bak, .bmp, .brw, .c, .cab, .cc, .cer, .cfg, .conf, .cpp, .crt, .cs, .ctl, .cxx, .dbf, .der, .dib, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .hpp, .hxx, .iso, .java, .jfif, .jpe, .jpeg, .jpg, .js, .kdbx, .key, .mail, .mdb, .msg, .nrg, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .ora, .ost, .ova, .ovf, .p12, .p7b, .p7c, .pdf, .pem, .pfx, .php, .pmf, .png, .ppt, .pptx, .ps1, .pst, .pvi, .py, .pyc, .pyw, .qcow, .qcow2, .rar, .rb, .rtf, .scm, .sln, .sql, .tar, .tib, .tif, .tiff, .vb, .vbox, .vbs, .vcb, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmtm, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xml, .xvd, .zip. Come risultato del funzionamento del trojan sullo schermo del computer infetto viene visualizzata una richiesta di pagare il riscatto nella criptovaluta Bitcoin, e sul sito dei malintenzionati nella TOR alla vittima vengono assegnate 48 ore per pagare, dopo cui l'importo del riscatto verrà aumentato.

Al momento lo studio di Trojan.BadRabbit continua. I dettagli tecnici del funzionamento di questo programma malevolo sono stati pubblicati nella nostra base di conoscenza dei virus.


Articoli su DrWeb

Statistiche sulle infezioni Dr.Web AV-DeskServizio Agent Monitoring GratuitoStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskCambio tariffe Dr. WebStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskDoctor Web ha rilevato nello store di applicazioni Android ufficiale un trojan clickerStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskTrojan banker Bolik viene distribuito con il pretesto di NordVPNStatistiche sulle infezioni Dr.Web AV-DeskNuovo trojan backdoor rilevato Doctor Web su Google PlayNews Doctor Web – Compromesso il sito di VSDCStatistiche sulle infezioni Dr.Web AV-DeskDr.Web Data Loss Prevention – la migliore protezione contro i CryptolockerDoctor Web: trojan Android.InfectionAdsStatistiche sulle infezioni riscontrate da Dr.Web AV-DeskA rischio centinaia di milioni di utenti di UC Browser per AndroidDoctor Web rileva un trojan in un programma per il monitoraggio del tasso di cambio delle criptovaluteDoctor Web rileva un trojan che sfrutta una falla zero-day nel client Counter-StrikeBollettino DoctorWeb – Le minacce di Febbraio 2019Doctor Web: attenzione ai Trojan Android diffusi tramite App che sembrano innocueVariazione Listini Dr.Web dal 1 Dicembre 2018Dr.Web: l’antivirus con laboratorio R&D proprietarioConfermato il Laboratorio di Doctor Web al CoreTech Partner SummitDoctor Web6 tipi di impiegati a rischio malware in ufficioCirca l'8% delle smart TV e dei dispositivi con Android è vulnerabile a un nuovo minerDoctor Web mette in guardia dalla diffusione di un nuovo cryptolocker GandCrabAnatomia di un Antivirus: sicuri di stare al sicuro?I prodotti Dr.Web sono compatibili con gli aggiornamenti di sicurezza Windows di gennaioDoctor Web ha esaminato un nuovo backdoor per WindowsDoctor Web avverte: i malintenzionati hackerano siti web tramite "l'Internet degli oggetti"Un milione di richieste: un numero tondo per il supporto tecnico Doctor WebDoctor Web ha esaminato un nuovo trojan bankerDoctor Web ha scoperto in Google Play applicazioni con un trojan che sono state scaricate da oltre 2.000.000 di utentiDrWeb Cloud: licenze NFR gratuite per tutti i PartnerRilascio di Dr.Web Light 11.0.0 per AndroidDoctor Web: panoramica sulle attività dei virus ad ottobre 2017Rilascio di Dr.Web 11.0.4 per Microsoft Exchange ServerBadRabbit ha paura dei computer con Dr.Web: un'indagine sul trojan clamorosoCoreTech e Doctor Web, una nuova partnership per la sicurezza degli endpoint con la potenza del Cloud

Video Premium su DrWeb

Corsi Premium - Dr.Web
Ripe Ncc Member
vmware
CloudLinux
Plesk
HP
Microsoft