le 25 octobre 2017

Trojan.BadRabbit, également connu sous le nom de BadRabbit, ne représente aucune menace pour les utilisateurs des versions actuelles des produits Dr.Web ayant la protection préventive activée : le chiffrement est bloqué dès que la technologie Dr.Web process heuristics détecte une menace ressemblant à Trojan.Encoder.32. L'écriture du code de son enregistrement dans MBR est également bloquée d'une manière préventive. Les fonctionnalités du Trojan sont similaires à celles de Trojan.Encoder.12544, également connu sous les noms Petya, Petya, ExPetya et WannaCry-2, il utilise le même algorithme. Les analystes de Doctor Web sont en train d'examiner le malware et les détails de son fonctionnement.

Sur Internet, il existe des recommandations concernant la protection contre cette menace, par exemple :

• Créer le fichier C:\Windows\infpub.dat avec l’attribut ReadOnly ;
• Créer le fichier C:\Windows\cscc.dat avec l’attribut ReadOnly ;
• Interdire dans les stratégies des groupes (Stratégies de Restriction logicielle) l'exécution de inpub.dat et install_flash_player.exe.

Certaines de ces mesures peuvent avoir un effet à court terme, mais les experts de Doctor Web ne considèrent pas ces solutions suffisantes pour une bonne protection contre les menaces informatiques. Le moindre changement apporté dans le malware peut rendre toutes les mesures mentionnées complètement inutiles. Ainsi, la seule recommandation serait d’utiliser un antivirus fiable. La version actuelle de Dr.Web protège contre cette menace.

Une description détaillée du Trojan sera publiée dès que nous avons les résultats des études menées actuellement par notre laboratoire.