{"id":9783,"date":"2017-10-25T09:48:30","date_gmt":"2017-10-25T12:48:30","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=9783"},"modified":"2019-11-22T07:24:10","modified_gmt":"2019-11-22T10:24:10","slug":"bad-rabbit-nova-epidemia-de-ransomware-usa-sites-contaminados","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/bad-rabbit-nova-epidemia-de-ransomware-usa-sites-contaminados\/9783\/","title":{"rendered":"Bad Rabbit: nova epidemia de ransomware usa sites contaminados"},"content":{"rendered":"<p><em><strong>O post est\u00e1 sendo atualizado \u00e0 medida que nossos especialistas encontram novos detalhes sobre o malware.<\/strong><\/em><\/p>\n<p>J\u00e1 vimos dois ataques em grande escala do Ransomware este ano \u2013 <a href=\"https:\/\/www.kaspersky.com.br\/blog\/wannacry-for-b2b\/7324\/\" target=\"_blank\" rel=\"noopener\">WannaCry<\/a> e <a href=\"https:\/\/www.kaspersky.com.br\/blog\/expetr-for-b2b\/9223\/\" target=\"_blank\" rel=\"noopener\">ExPetr<\/a> (tamb\u00e9m conhecido como Petya e NotPetya). Parece que um terceiro ataque est\u00e1 em ascens\u00e3o: o malware Bad Rabbit \u2013 nome indicado pelo site darknet citado na nota de resgate.<br>\nO que se sabe at\u00e9 agora \u00e9 que o Bad Rabbit infectou v\u00e1rios grandes meios de comunica\u00e7\u00e3o russos, como as ag\u00eancias de not\u00edcias Interfax e Fontanka.ru. O Aeroporto Internacional de Odessa (Ucr\u00e2nia) informou sobre um ataque cibern\u00e9tico em seu sistema de informa\u00e7\u00e3o.<\/p>\n<p>Os criminosos por tr\u00e1s do ataque Bad Rabbit est\u00e3o exigindo 0,05 bitcoin como resgate \u2013 aproximadamente US$ 280 \u00e0 taxa de c\u00e2mbio atual.<br>\n<img decoding=\"async\" class=\"alignnone size-large\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2017\/10\/24124149\/badrabbit_1.gif\" width=\"720\" height=\"405\"><br>\nDe acordo com nossas descobertas, o ataque n\u00e3o usa <a href=\"https:\/\/www.kaspersky.com.br\/blog\/exploits-problem-explanation\/6010\/\" target=\"_blank\" rel=\"noopener\">exploits<\/a>. \u00c9 um ataque drive-by: as v\u00edtimas baixam um falso instalador do Adobe Flash de sites infectados e iniciam manualmente o arquivo .<em>exe<\/em>, infectando-se assim. Nossos pesquisadores detectaram uma s\u00e9rie de sites comprometidos, todas de not\u00edcias ou de m\u00eddia.<\/p>\n<p>Se \u00e9 poss\u00edvel recuperar arquivos criptografados por Bad Rabbit (seja pagando o resgate ou usando alguma falha no c\u00f3digo do ransomware) ainda n\u00e3o \u00e9 conhecido. Os especialistas da Kaspersky Lab est\u00e3o investigando o ataque e estaremos atualizando esta publica\u00e7\u00e3o com suas descobertas.<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/ZeZ9C8aPWtc?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>De acordo com nossos dados, a maioria das v\u00edtimas est\u00e1 na R\u00fassia. Tamb\u00e9m vimos ataques semelhantes, por\u00e9m menos, na Ucr\u00e2nia, Turquia e Alemanha. Este ransomware infectou dispositivos por meio de uma s\u00e9rie de sites de m\u00eddia russo hackeados. Com base em nossa investiga\u00e7\u00e3o, \u00e9 um ataque direcionado contra redes corporativas, usando m\u00e9todos semelhantes aos usados \u200b\u200bno ataque do ExPetr.<\/p>\n<p>Nossos especialistas coletaram evid\u00eancias suficientes para vincular o ataque de Bad Rabbit com o do <a href=\"https:\/\/www.kaspersky.com.br\/blog\/expetr-for-b2b\/9223\/\" target=\"_blank\" rel=\"noopener\">ExPetr<\/a>, em junho deste ano. De acordo com as an\u00e1lises, alguns dos c\u00f3digos usados no Bad Rabbit foram vistos no ExPetr.<\/p>\n<p>Outras semelhan\u00e7as incluem a mesma lista de dom\u00ednios utilizados para o ataque drive-by (alguns desses dom\u00ednios foram hackeados em junho, mas n\u00e3o utilizados), bem como as mesmas t\u00e9cnicas utilizadas para espalhar o malware em redes corporativas \u2013 ambos os ataques utilizaram o Windows Management Instrumentation Command Line (WMIC). No entanto, h\u00e1 uma diferen\u00e7a: ao contr\u00e1rio do ExPetr, o Bad Rabbit n\u00e3o usa o EternalBlue \u2013 ou qualquer outro exploit.<\/p>\n<p>Nossos especialistas pensam que o mesmo ator da amea\u00e7a est\u00e1 atr\u00e1s de ambos os ataques e que ele estava preparando o ataque Bad Rabbit desde julho deste ano, ou mesmo antes.<\/p>\n<p>Continuamos nossa investiga\u00e7\u00e3o. Enquanto isso, voc\u00ea pode encontrar mais detalhes t\u00e9cnicos nesta publica\u00e7\u00e3o na <a href=\"https:\/\/securelist.com\/bad-rabbit-ransomware\/82851\/\" target=\"_blank\" rel=\"noopener\">Securelist<\/a>.<\/p>\n<p>Os produtos da Kaspersky Lab detectam o ataque com os seguintes nomes: UDS: DangerousObject.Multi.Generic (detectado pela Kaspersky Security Network), PDM: Trojan.Win32.Generic (detectado pelo System Watcher) e Trojan-Ransom.Win32.Gen.ftl.<br>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis-trial-ransomware\"><\/p>\n<p><strong>Para evitar ser uma v\u00edtima do Bad Rabbit:<\/strong><\/p>\n<p>Usu\u00e1rios dos produtos Kaspersky Lab:<\/p>\n<ul>\n<li>Certifique-se de que o <a href=\"https:\/\/www.kaspersky.com.br\/blog\/system-watcher-patent\/6560\/\" target=\"_blank\" rel=\"noopener\">System Watcher<\/a> e a <a href=\"https:\/\/www.kaspersky.com.br\/blog\/como-funciona-a-seguranca-em-nuvem-com-o-ksn\/5271\/\" target=\"_blank\" rel=\"noopener\">Kaspersky Security Network<\/a> estjam ativados. Caso contr\u00e1rio, \u00e9 essencial ativar esses recursos.<\/li>\n<\/ul>\n<p>Outros usu\u00e1rios:<\/p>\n<ul>\n<li>Bloqueie a execu\u00e7\u00e3o dos arquivos c:windows infpub.dat e c:Windowscscc.dat.<\/li>\n<li>Desative o servi\u00e7o WMI (se for poss\u00edvel no seu ambiente) para impedir que o malware se espalhe pela sua rede.<\/li>\n<\/ul>\n<p>Dicas para todos:<\/p>\n<ul>\n<li>Fa\u00e7a <a href=\"https:\/\/www.kaspersky.com.br\/blog\/how-to-backup\/9732\/\" target=\"_blank\" rel=\"noopener\">backup<\/a> de seus dados.<\/li>\n<li>N\u00e3o <a href=\"https:\/\/www.kaspersky.com.br\/blog\/marion-nomoreransom-story\/7157\/\" target=\"_blank\" rel=\"noopener\">pague o resgate<\/a>.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>V\u00edrus sequestrador finge ser uma atualiza\u00e7\u00e3o do Flash e exige US$ 280 de resgate; veja como se prevenir<\/p>\n","protected":false},"author":675,"featured_media":9784,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,14],"tags":[1318,35,1319,83,1320,1155],"class_list":{"0":"post-9783","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-badrabbit-bad-rabbit","10":"tag-malware-2","11":"tag-ransom","12":"tag-ransomware","13":"tag-resgate","14":"tag-surto"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/bad-rabbit-nova-epidemia-de-ransomware-usa-sites-contaminados\/9783\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/9783","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/675"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=9783"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/9783\/revisions"}],"predecessor-version":[{"id":13005,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/9783\/revisions\/13005"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/9784"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=9783"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=9783"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=9783"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}