25 ottobre 2017

Il Trojan.BadRabbit, anche conosciuto come BadRabbit ("coniglio cattivo"), non costituisce alcuna minaccia per gli utenti delle versioni di Dr.Web attuali con la protezione preventiva attivata: la criptazione viene troncata tramite il record DPH:Trojan.Encoder.32. Inoltre, viene proibita in modo preventivo la registrazione del codice del suo caricamento nell'MBR. Nelle funzionalità il trojan assomiglia al Trojan.Encoder.12544, anche conosciuto con i nomi di Petya, Petya.A, ExPetya e WannaCry-2: utilizza lo stesso algoritmo; il programma malevolo e i dettagli del suo funzionamento vengono studiati dagli specialisti Doctor Web.

Nella rete ci sono raccomandazioni sulla protezione da questa minaccia, per esempio le seguenti:

• creare un file C:\Windows\infpub.dat con l'attributo ReadOnly;
• creare un file C:\Windows\cscc.dat con l'attributo ReadOnly;
• vietare nei criteri di gruppo (Criteri di restrizione software) le esecuzioni di infpub.dat e di install_flash_player.exe.

Alcune di queste misure possono essere efficaci a breve termine, ma gli specialisti Doctor Web non possono raccomandare di limitarsi a tali provvedimenti nella protezione dalle minacce informatiche. Il minimo cambiamento nel programma malevolo può portare a quello che le misure sopraccitate non avranno alcun effetto. Pertanto, l'unica raccomandazione può essere quella di utilizzare un antivirus affidabile. La versione di Dr.Web attuale protegge da questo virus.

Una descrizione dettagliata sarà pubblicata in base ai risultati dell'indagine che adesso viene condotta dal laboratorio antivirus.