Qu'est-ce que le ransomware Bad Rabbit ?

Bad Rabbit est une souche de ransomware apparue pour la première fois en 2017. Il cible d'abord les entreprises de médias en Russie et en Ukraine. Dans la plupart des cas, il s'est répandu en se faisant passer pour une mise à jour du lecteur média Adobe Flash, persuadant les victimes de cliquer et d'ouvrir un fichier malveillant.

Comme d'autres souches de ransomwares, le virus Bad Rabbit verrouille les ordinateurs, serveurs ou fichiers des victimes et les empêche d'y accéder tant qu'une rançon - généralement en Bitcoin - n'a pas été payée. Pour en savoir plus sur les logiciels de rançon, cliquez ici.

Bad Rabbit est apparu pour la première fois en 2017 et présente des similitudes avec les souches de ransomware appelées WannaCry et Petya.

Déguisé en installateur Adobe Flash, Bad Rabbit se propage par des téléchargements “drive-by” sur des sites web compromis, ce qui signifie que les victimes peuvent être exposées au virus simplement en visitant un site web malveillant ou compromis. Le malware est intégré dans les sites web en utilisant du JavaScript injecté dans le code HTML du site.

Si une personne clique sur l'installateur malveillant, BadRabbit ransomware crypte les fichiers et présente aux utilisateurs un austère message en noir et rouge : "Si vous voyez ce texte, vos fichiers ne sont plus accessibles. Vous avez peut-être cherché un moyen de récupérer vos fichiers. Ne perdez pas votre temps".

Le texte demande environ 280 dollars en bitcoin et donne un délai de 40 heures pour effectuer les paiements^[1]. Les victimes ont déclaré que le fait d'effectuer le paiement a effectivement débloqué leurs fichiers, bien que ce ne soit pas toujours le cas dans d'autres attaques par rançon.

Un ransomware comme Bad Rabbit attaque un réseau de deux manières : en tant que crypteur (comme c'est le cas avec Bad Rabbit) ou en tant que verrouilleur d'écran. Les crypteurs verrouillent les données sur un système ciblé, rendant le contenu inaccessible sans clé de décryptage. Un verrouilleur d'écran bloque simplement l'accès au système via un écran de verrouillage qui prétend simplement que le système est chiffré^[2].

Dans les deux cas, la protection contre les ransomware est une bien meilleure option que la réparation.

Une fois que vous vous rendez compte que vous êtes victime d'une attaque par un ransomware de type "Bad Rabbit", suivez les étapes suivantes pour réagir :^[3]

1. Contactez les services de police.
2. Déconnectez de tout ordinateur, serveur ou autre équipement votre réseau.
3. Déterminez l'ampleur du problème en vous basant sur vos connaissances en matière de renseignements sur les menaces.
4. Orchestrez une réponse. Certains types de ransomware, tels que les verrouillleurs d'écran, sont plus faciles à réparer. D'autres peuvent nécessiter une réimagerie complète (effacement) des systèmes et la récupération de fichiers à partir d'une sauvegarde.
5. Recherchez des outils de décryptage de ransomwares gratuits, mais ne vous y fiez pas. Ils ne fonctionnent pas pour tous les types de logiciels de rançon et peuvent ne pas vous aider à récupérer vos fichiers.
6. Restaurez des fichiers captifs à partir de vos systèmes de sauvegarde.

[1] Lena Fuks (Boulevard de la sécurité). “10 attaques par ransomware dont vous devriez être informés en 2019”
[2] Proofpoint. “Ransomware is Big Business”
[3] Proofpoint. “The Ransomware Survival Guide”