Bad Rabbit sigue los pasos de WannaCry y NotPetya. Ha afectado a organizaciones, esta disfrazado como una instalación de Adobe Flash. Se propaga a través de descargas automáticas en sitios web comprometidos donde se ha insertado en un código HTML o en archivos Java utilizando JavaScript. Una vez descargado e instalado, la PC queda bloqueada. El rescate es de $280 dólares en bitcoins, con un plazo de 40 horas para realizar el pago.
Este ransomware utiliza el binario legítimo y firmado de DiskCryptor para no levantar sospechas. A la hora de instalarse, además, pide al usuario desactivar el antivirus para no tener problemas al «actualizar flash». Cuando termina con el cifrado, intenta utilizar EternalBlue para infectar a todos los demás equipos de la red, así como intenta conectarse a través de otros protocolos, como WebDav, para intentar propagarse dentro de la red local.
Las empresas de seguridad que estén estudiando esta amenaza aseguran que no solo se limita a infectar los sistemas con un ransomware, sino que los piratas informáticos van más allá. En algunos casos se ha visto cómo se ha llegado a instalar un keylogger en el sistema, borrar todos los registros de actividad de Windows e incluso, como otras variantes de ransomware, borrar el sector de arranque del sistema, lo que impide volver a él y recuperar los datos si no se paga (o se descifra).
