Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Nouveau ransomware Bad Rabbit, le commentaires de SentinelOne

octobre 2017 par Patrice Puichaud, évangéliste chez SentinelOne

Un nouveau ransomware baptisé Bad Rabbit a récemment touché la Russie et l’Ukraine ainsi que des entreprises majeures comme l’aéroport d’Odessa, le métro de Kiev ou l’agence de presse Equifax, le commentaire de Patrice Puichaud, évangeliste chez SentinelOne :

« Un nouveau ransomware baptisé Bad Rabbit a récemment été détecté et cible pour le moment plus particulièrement la Russie et l’Ukraine (65 % victimes en Russie, 12.2 % en Ukraine, puis Europe de l’est / Turquie et Japon). Ce ransomware qui était inconnu jusqu’à hier, partage environ 13 % du code de Petya et se propage au travers de sites web infectés en se présentant sous la forme d’une installation de Flash Player (install_flash_player.exe). Une fois exécuté, il se comporte comme un ransomware traditionnel, chiffrant les fichiers et demandant une rançon pour les déchiffrer. Il modifie également le boot loader comme le faisait Petya/notPetya. Les cybercriminels ont fait preuve d’originalité puisque les développeurs du ransomware se sont manifestement inspirés de Game of Throne pour ajouter au code du ransomware des références aux personnages de la série. »

« Pour se protéger, on ne peut que rappeler le respect des quatre règles de base : éduquer les utilisateurs, installer régulièrement les mises à jour, disposer des bons outils de sauvegarde, mettre en œuvre des solutions de protection efficaces qui exploitent l’intelligence artificielle pour détecter et arrêter les menaces même inconnues. Les chercheurs de SentinelOne ont ainsi confirmé que notre plate-forme de protection des terminaux détecte et bloque immédiatement ce nouveau ransomware, avant exécution et sans besoin de le connaitre. »

Informations complémentaires
Techniquement, les 3 fichiers concernés :
• fbbdc39af1139aebba4da004475e8839 – install_flash_player.exe : le dropper.
• 1d724f95c61f1055f0d02c2154bbccd3 – C :\Windows\infpub.dat : exécuté via rundll32 (contenant mimikatz).
• b14d8faf7f0cbcfad051cefe5f39645f – C :\Windows\dispci.exe : le chiffreur.


Voir les articles précédents

    

Voir les articles suivants