Een nieuwe golf van ransomware die erg lijkt op de eerder populaire Petya maakt slachtoffers onder organisaties in Rusland en Oekraïne. De zogenoemde Bad Rabbit-ransomware wist de metro van Kiev en verschillende Oekraïense ministeries tot slachtoffer te maken.

De ransomware lijkt een gerichte aanval te zijn op verschillende bedrijfsnetwerken, zo stelt Alex Perekalin van Kaspersky.

Flash Player

De aanval zou haar oorsprong vinden via een netwerk van Russische mediawebsites. Daar werd een valse update voor Flash Player op gezet, die de Bad Rabbit-ransomware activeert bij het downloaden van deze update. Vervolgens gaat de ransomware aan de slag op je netwerk en gebruikt een lijst met veel voorkomende wachtwoorden om ingangen te vinden.

Net als Petya wordt de harde schijf van een getroffen PC overschreven en worden bestanden versleuteld. Door 240 euro te betalen kan een slachtoffer ontsleuteling van de bestanden verkrijgen, maar het is nog niet bekend of dit daadwerkelijk lukt na betaling.

Het advies voor getroffen organisaties is om de bestanden c:\\windows\infpub.dat en c:\Windows\cscc.dat te blokkeren en de WMI-service van windows uit te schakelen, zodat de ransomware verder niet verspreid kan worden via het betreffende systeem.

Slachtoffers en Aanvallers

Naast Oekraïne en Rusland zijn ook organisaties in Turkije en Bulgarije getroffen. De infectie is op hetzelfde moment geactiveerd. Waarschijnlijk is de aanval uitgevoerd door dezelfde personen als de Petya-uitvoerders.