{"id":913,"date":"2017-10-25T19:39:58","date_gmt":"2017-10-25T19:39:58","guid":{"rendered":"https:\/\/warp.lacnic.net\/?p=913"},"modified":"2017-10-25T19:39:58","modified_gmt":"2017-10-25T19:39:58","slug":"badrabbit-ransomware","status":"publish","type":"post","link":"https:\/\/csirt.lacnic.net\/en\/news\/badrabbit-ransomware","title":{"rendered":"BadRabbit Ransomware"},"content":{"rendered":"

El d\u00eda 24 de Octubre de 2017 se di\u00f3 a conocer un incidente de ciberseguridad del cual fueron v\u00edctimas algunas organizaciones en ciertos pa\u00edses del mundo, Russia, Ukraine, Bulgaria, and Turkey.<\/p>\n

Esta vez se trata de un ataque de un nuevo ransomware, llamado BadRabbit. El mismo, utiliza m\u00faltiples vectores de ataque, siendo SMB s\u00f3lo uno de ellos. No se detect\u00f3 el C&C, luego de la infecci\u00f3n, la v\u00edctima no se conecta con el atacante<\/p>\n

El malware fue enviado a trav\u00e9s de una actualizaci\u00f3n falsa de Adobe Flash.<\/p>\n

A la fecha de este reporte, se sabe que el sitio desde donde se descargaba el mismo fue dado de baja pero no se conoce ninguna herramienta para el descifrado de los archivos afectados.
\nEs importante tener en cuenta que a\u00fan los sistemas actualizados correctamente pueden verse afectados por este problema.<\/p>\n

Denominaciones posibles Win32\/Diskcoder.D (ESET), Trojan-Ransom.Win32.Gen.ftl (Kaspersky), Win32\/Tibbar.A (Microsoft), Troj\/Ransom-ERK (Sophos)<\/p>\n

Sistema afectado<\/b> Windows XP – Windows 10.<\/p>\n

El Antivirus Windows Defender, con versi\u00f3n de actualizaci\u00f3n 1.255.29.0 o mayor, detecta y elimina esta amenza. (https:\/\/www.microsoft.com\/en-us\/wdsi\/threats\/malware-encyclopedia- description?Name=Ransom:Win32\/Tibbar.A<\/a>)
\nDada la criticidad, se recomienda aplicar los parches de seguridad de forma urgente.<\/p>\n

Recomendaciones<\/h3>\n

Prevenci\u00f3n<\/h4>\n