BadRabbit, il ransomware erede di Petya si diffonde in Europa

Al momento si tratta di un allarme circoscritto, ma resta pur sempre un allarme. Stando a diversi report delle maggiori aziende mondiali di cybersicurezza, ci si starebbe preparando a un nuovo attacco ransomware in grande stile. Il virus del riscatto, chiamato Bad Rabbit, ha già colpito in Europa dell’Est e si starebbe diffondendo a gran velocità.

La nuova minaccia, che condivide più di qualche aspetto tecnico e tecnologico con Petya, avrebbe colpito sia agenzie governative o pubbliche (come il sistema di gestione dell’aeroporto di Odessa, la metro di Kiev e il Ministero delle Infrastrutture in Ucraina) e società private (come tre dei maggiori quotidiani e portali di informazione in Russia), provocando parecchi disagi. La velocità con coi Bad Rabbit si sta diffondendo, fanno notare gli esperti di sicurezza informatica, è simile a quella di WannaCry e Petya, i due peggiori attacchi ransomware (almeno sinora) del 2017.

Bad Rabbit si diffonde attraverso falsi aggiornamenti Flash

Secondo i ricercatori di ESET e Proofpoint la diffusione di Bad Rabbit (almeno nelle primissime fasi) sarebbe stata “affidata” a un falso aggiornamento Flash, che avrebbe consentito agli hacker di infettare rapidamente un gran numero di computer. Di fatto, però, si tratta solamente di una testa di ponte: come visto nel caso di Petya e WannaCry, il ransomware è in grado di sfruttare vulnerabilità nei sistemi di sicurezza delle reti per auto-installarsi su tutti gli altri terminali.

Una volta installato, Bad Rabbit crittografa tutti i dati presenti nel disco rigido, sovrascrive le informazioni presenti nel Master boot record del computer infetto e riavvia il sistema. Da questo momento in poi, il computer sarà inutilizzabile e mostrerà un messaggio di riscatto molto simile a quello già visto con Petya. Per riavere accesso ai propri file, si sarà costretti a pagare una cifra di circa 250 euro (0,05 Bitcoin) entro 40 ore o poco più.

Stando alle primissime analisi condotte dalle varie società di cybersecurity, Bad Rabbit sarebbe un “vero” ransomware e non un wiper travestito da virus del riscatto. Ciò vuol dire che i file presenti sul disco rigido sono effettivamente crittografati in attesa che qualcuno paghi il riscatto (o che qualche sviluppatore rilasci uno strumento per recuperare le informazioni) e non cancella i file alla prima occasione utile.

Come proteggersi da Bad Rabbit

Nel caso si dovesse restare infettati, c’è ben poco da fare. Si deve sperare che, nell’arco dei 3 giorni concessi dagli hacker, qualche ricercatore riesca a sviluppare un decrypter altrimenti si potrà dire addio ai propri file (da scartare a priori l’ipotesi di pagare il riscatto, ovviamente). Nel frattempo, scollegate il computer dalla rete togliendo il cavo Ethernet o disattivando il Wi-Fi, così da limitare la diffusione del ransomware ed evitare che anche gli altri computer della rete finiscano con l’essere infettati.

Se, invece, non si è vittima del virus del riscatto, è il caso di mettere in atto alcune misure di sicurezza – molto elementari –, che aiutano a tenere lontana la minaccia-ransomware. Prima di tutto, è necessario aggiornare sistema operativo e tutti i software installati all’ultima versione disponibile: solo in questo modo si eviterà che gli hacker possano sfruttare a proprio vantaggio eventuali falle e vulnerabilità. Sempre utile, poi, effettuare dei backup periodici del sistema, così da poter recuperare facilmente le informazioni crittografate dai criminali informatici. Attenzione, infine, a strani messaggi o pop up che potrebbero comparirvi mentre navigate nel web: se dovesse comparire una finestra che vi chiede di aggiornare Adobe Flash, spegnete il dispositivo (computer e smartphone) e non aggiornate per nessun motivo. Rischiereste solamente di infettarvi con l’ultimo ransomware comparso.

Alcuni esperti che hanno potuto studiare a fondo il virus del riscatto hanno scoperto un piccolo trucco che potrebbe neutralizzare Bad Rabbit, evitando che i file vengano cifrati. Tutto quello che si dovrebbe fare è creare un file all’interno della cartella “C:Windows” e renderlo accessibile in sola lettura. Per difendersi dal ransomware, dunque, si clicca con il tasto destro del mouse su uno spazio vuoto del desktop, portarsi con il cursore sulla voce “Nuovo“, scegliere “Documento di testo” e assegnare il nome “infpub.dat”, cambiando anche l’estensione del file. A questo punto cliccare con il destro sull’icona del file appena creato, scegliere Proprietà e, nella parte bassa della scheda, selezionare l’attributo Sola lettura. Completata questa operazione sarà possibile tagliare e incollare il file (o trascinarlo con il mouse da Risorse del computer) dentro la cartella “C:Windows” e il gioco è fatto.