25 października 2017

Trojan.BadRabbit, znany również jako BadRabbit, nie stanowi zagrożenia dla użytkowników, których maszyny są chronione przez aktualne wersje oprogramowania Dr.Web z włączonym komponentem ochrony zapobiegawczej. Dr.Web wykrywa to malware jako DPH:Trojan.Encoder.32 i tym samym zapobiega zaszyfrowaniu plików. Dr.Web chroni również przed zmodyfikowaniem przez to malware głównego sektora rozruchowego dysku (MBR). Arsenał trojana jest zbliżony do “wyposażenia” wirusa Trojan.Encoder.12544, znanego również jako Petya, Petya.A, ExPetya i WannaCry-2 i wykorzystuje tą samą procedurę. Program został przebadany przez analityków Doctor Web.

Niektóre publikacje w Internecie zawierają zalecenia dotyczące zminimalizowania skutków działania tego zagrożenia. Zalecane środki bezpieczeństwa obejmują:

• Utworzenie pliku C:\Windows\infpub.dat w trybie tylko do odczytu.
• Utworzenie pliku C:\Windows\cscc.dat w trybie tylko do odczytu.
• Wykorzystanie ustawień Polityki Ograniczania Oprogramowania (Software Restriction Policy) do zapobieżenia wykonaniu plików infpub.dat i install_flash_player.exe.

Niektóre z tych kroków bezpieczeństwa mogą mieć krótkoterminowy efekt, ale Doctor Web nie zaleca ich użycia jako jedynego sposobu ochrony. Najmniejsza modyfikacja malware może spowodować, że wszystkie te kroki zapobiegawcze staną się kompletnie bezużyteczne. Tym samym tylko pewny antywirus pozostaje najbardziej solidnym narzędziem bezpieczeństwa. Najnowsze wersje Dr.Web chronią systemy przed tym malware.

Niedługo opublikujemy szczegółowy opis tego zagrożenia, gdy tylko nasze laboratorium antywirusowe zakończy badania dotyczące tego trojana.