Bulletin d’alerte | Bad Rabbit

Bulletin d’alerte | Bad Rabbit

Bulletin d’alerte au 25 octobre 2017

Une nouvelle variante d’un ransomware se propage : Bad Rabbit. Voici les premières informations recueillies à ce jour. Nous vous tiendrons informés en cas d’évolution.

  • Son fonctionnement est similaire à Petya/NotPetya : il chiffre les fichiers, le MBR et redémarre le système. Il demande ensuite le paiement d’une rançon.
  • La méthode de propagation de cette nouvelle variante s’effectue via des sites web

 

Recommandations

1. Isoler les machines infectées

2. Avertir et sensibiliser les employés sur l’attaque en cours

3. Déployer les derniers correctifs de sécurité Microsoft sur les postes de travail et serveurs

4. Mettre à jour les protections antivirus (endpoints, messagerie…)

5. Intégrer les IOC fournis en annexe

6. Désactiver WMI si possible

7. Bloquer l’exécution des fichiers C:\windows\infpub.dat et C:\Windows\cscc.dat.

8. Effectuer des sauvegardes régulières stockées séparément

IOCs NES

Hashes :

install_flash_player.exe [SHA256]: 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
C:\Windows\dispci.exe [SHA256]: 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93
C:\windows\infpub.dat [SHA256]: 579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648
C:\windows\cscc.dat [SHA256]: 8d63e37aa74ca33a926bec7c7aa8fda0f764ffbb20e8f64bb9c3999b5975f9a6