Como sabemos actualmente uno de los ” malware” que se están propagando por todo el mundo es el famoso variante de ” Peyta / Not Peyta ” conocido como Bad  Rabitt.

Este virus se distribuye através de una falsa actualización de ” Flash ”   primero infecta los archivos del usuario y posteriormente modifica el MBR , finalizado realiza un reinicio de la computadora mostrando la siguiente pantalla .
badrabitt4

 

Imagen donde se aprecia la ” falsa aplicación ” disfrazada en el ejecutable

bad-rabbit-ransomware-message

En un análisis del ” bicho” encontramos que en su código hay varios archivos DLL´s y demás , pero dos de ellos de suma importancia con los cuales va a trabajar  y de sumo potencial pues le da autoridad para hacer ” escritura” dentro de nuestro equipo y ” agregarse” al sistema de archivos, como podemos ver en la siguiente pantalla.

DM76TIpWkAEAX60

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Código en ensamblador del ” virus” donde muestra la localización donde se ” aloja” .

badrabitt

 

Entonces la lógica es ; si el virus intentará crear estos archivos , pues entonces nosotros nos anticipamos y creamos antes los archivos  y les cambiamos sus propiedades para que así si , intentara infectarnos ya no lo haría pues pensaría que el equipo ” ya está infectado “, para evitar la infección , claro esto no asegura la infección por cualquier otro malware solo funcionaría en este caso solo para el virus ” bad rabitt”, y solo funciona si no hemos sido infectados previamente, tampoco garantiza la infección por otro método fuera del mencionado en este artículo.

Para lo cual primeramente lo que requerimos es crear estos archivos  de tamaño de 1KB y colocarlos en la carpeta de windows  C:\WINDOWS ( CSSCC.DAT E  INFPUB.DAT )

Step 1

 

Una vez creado los archivos, modificar los parámetros de estos dando click derecho en cada uno , se nos abrirá opciones   , ahí seleccionar la opción de  ” propiedades, y se nos abrirá las opciones  de ” seguridad” como se muestra en la siguiente pantalla.

Step11
Posteriormente damos click en el botón ” Opciones Avanzadas”

Step 12

 

Al dar click se nos abrirá opciones de administración del archivo , ahí seleccionamos ” cambiar permisos”

Step 13

 

 

Ahí debemos habilitar   la opción de ” incluir todos los permisos heredables del objeto primario de este objeto ” y darle aceptar

Step 2

 

Posteriormente abrirá una ventana de confirmación , Si el sistema operativo es Windows 10 , se sigue el mismo procedimiento pero en lugar de desmarcar la herencia ,damos click en ” desactivar la herencia ”

El mismo proceso se debe realizar para el segundo archivo, nuevamente este proceso solo funcionará en caso del virus ” bad rabitt” con la lógica de operación comentada en este artículo , no asegura que no nos vayamos a infectar de otro malware o del mismo bajo otro algoritmo de trabajo, esperamos les sea de utilidad esta información…

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Open chat
1
Hola, ¿Puedo ayudarte en algo?
Powered by