Bad rabbit

How to protect yourself with our firewalls and secure browser - Ransomware Bad Rabbit

In October 2017, a wave of attacks began that is now better known as Bad Rabbit. Initially, Eastern European companies and authorities were the main targets. Eventually, Bad Rabbit also spread to other countries, including Germany. Find out exactly what Bad Rabbit is and how you can protect yourself against it.

Background: What is Bad Rabbit?

Bad Rabbit is a new form of ransomware. This form of cybercrime where the data of certain targets are encrypted has already established itself. Bad rabbit is named after the page in the darknet, where the victim of this attack is able to pay the ransom in the hope of retrieving his or her data.

What is different about this encryption Trojan?

Bad Rabbit is also known as a watering hole attack. This describes an approach in which IT criminals are now focusing more on central, strategic goals, such as specific websites that potential targets frequently visit. So when victims visit a certain landing page, a drive-by download automatically starts. Specifically, a fake Adobe Flash installation file is downloaded, which leads to an infection with Bad Rabbit. After a forced restart, all data is encrypted on the PC.

Can Bad Rabbit also spread to the network?

Bad Rabbit is also able to spread across the IT network of the company or agency. Unlike WannaCry and NotPetya, Bad Rabbit does not exploit the vulnerability in the Windows SMB protocol. Instead, other computers are infected via the Windows Management Instrumentation (WMI).WMI is Microsoft’s Web-Based Enterprise Management (WBEM). Among other things, you are able to obtain management data from remote computers with it.

How can you protect yourself from attacking the PC?

Let's start with the protective measures you can do on the PC. There are two variants here.

Variant 1

  • Block the execution of the files c: \ windows \ infpub.dat and c: \ windows \ cscc.dat.
  • If possible, disable WMI on your Windows system to prevent the malware from spreading through your network.
  • Insert a local anti-virus scanner.

Variant 2

  • We recommend the use of Browser in the Box. The technology used makes it possible to effectively protect against such an attack. The innovative approach to Browser in the Box is that the operating system and browser are completely separate. The browser itself runs on a PC in a virtual machine and thus a complete isolation is achieved. Malware can not infect the user's PC and the network. More information can be found here on our website.

How can you protect your network?

As mentioned already, Bad Rabbit can also spread to the network. Therefore, here are some suggestions for protecting your IT network. This is where our gateprotect firewalls come into play:

In the network

1. Separate important servers from your computers. The keyword here is “network separation”.

2. Deploy network virus scanners.

Protection at the gateway

  • The virus scanner used by our gateprotect firewalls detects UDS: DangerousObject.Multi.Generic over which BadRabbit is running. We recommend that you use the proxy on HTTP and HTTPS in order to use the virus scanner from the UTM package safely.
  • The content filter provided by us offers the possibility to block downloads. Here you can block the download of any * .exe files.
  • The content filter also provides the ability to block certain categories of websites. You should use the sub-categories "Spam" and "Malware" actively.
  • Important: Generally, we advise against paying the ransom. It is not certain that your data will be decrypted after you have payed. Take NotPetya as an example; here the data wasn’t retrieved after payment. Additionally, you may end up on a list that will be used to target you in the future.

Need more information or more advice?

If you have further questions, please write an email to cybersecurity@rohde-schwarz.com

Запросить информацию

У вас есть вопросы или вам нужна дополнительная информация? Просто заполните эту форму, и мы свяжемся с вами в ближайшее время..

Я хочу получать информацию от Rohde & Schwarz по

Согласие на получение маркетинговых материалов

Что именно это означает?

Я соглашаюсь с тем, что ROHDE & SCHWARZ GmbH & Co. KG и предприятие ROHDE & SCHWARZ или его дочерняя компания, указанная на данном Веб-сайте, может обращаться ко мне выбранным способом (по электронной или обычной почте) с целью маркетинга и рекламы (например, сообщения о специальных предложениях и скидках), относящейся в числе прочего к продуктам и решениям в области контрольно-измерительной техники, защищенной связи, мониторинга и тестирования сети, вещания и средств массовой информации, а также кибербезопасности.

Ваши права

Настоящее заявление о согласии может быть в любое время отозвано путем отправки электронного письма с темой «Unsubscribe» (отказ от подписки на рассылку) по адресу: news@rohde-schwarz.com.Кроме этого, в каждом отправляемом вам письме имеется ссылка на отказ от подписки на рассылку будущих рекламных материалов.Дополнительная информация об использовании персональных данных и процедуре отказа от их использования содержится в Положении о конфиденциальности.

Обязательное поле Предоставляя свои персональные данные, я подтверждаю их достоверность и свое согласие на их обработку Обществом с ограниченной ответственностью «РОДЕ и ШВАРЦ РУС» (ОГРН 1047796710389, ИНН 7710557825, находящемуся по адресу: Москва, Нахимовский проспект, 58) в следующем объеме и следующими способами: обработку с использованием средств автоматизации и без таковых, сбор, систематизацию, классификацию, накопление, хранение, уточнение, обновление, изменение, шифрование с помощью любых средств защиты, включая криптографическую, запись на электронные носители, составление и переработку перечней и информационных систем, включающих мои персональные данные, маркировку, раскрытие, трансграничную передачу моих персональных данных, том числе, на территории стран всего мира, передачу с использованием средств электронной почты и/или эцп, в том числе, передачу с использованием интернет-ресурсов, а также обезличивание, блокирование, уничтожение, передачу в государственные органы в случаях, предусмотренных законодательством, использование иными способами, необходимыми для обработки, но не поименованными выше до момента ликвидации / реорганизации Компании либо до моего отзыва настоящего согласия.

Ваш запрос отправлен. Мы свяжемся с вами в ближайшее время.
An error is occurred, please try it again later.