网警提醒:新型勒索病毒“坏兔子”来袭!赶紧采取这些措施

幸运草
幸运草
幸运草
1038
文章
3
评论
2020年12月8日19:08:24
评论
1

10月 24 日,一种名叫“坏兔子(Bad Rabbit)”的新型勒索病毒从俄罗斯和乌克兰最先开始发动攻击,并且在东欧国家蔓延。目前涉及的国家主要有俄罗斯、乌克兰、保加利亚、土耳其和德国,被入侵的网站包括俄罗斯的国际文传电讯社、乌克兰基辅的地铁系统、乌克兰敖德萨的国际机场以及乌克兰的基础设施部等多家大型机构。截至目前,尚未发现国内批量性的感染,但相关防范工作需提前做好!

攻击方式

Bad Rabbit(坏兔子)勒索病毒主要通过水坑站点进行传播。

什么是“水坑”站点?就是被水坑攻击了的网站。

什么是“水坑”攻击?“水坑式攻击”,是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击。这种攻击行为类似《动物世界》纪录片中的一种情节:捕食者埋伏在水里或者水坑周围,等其他动物前来喝水时发起攻击猎取食物。水坑攻击已经成为APT攻击的一种常用手段。

据分析,Bad Rabbit(坏兔子)的感染三部曲是:

1、 通过在已被黑站点展示虚假的Adobe Flash更新通知。

2、 当用户点击这些通知消息时,它就会下载一个名为install_flash_player.exe的文件。

3、 一旦虚假的安装包被点击,其会生成infpub.dat和dispci.exe两个加密文件,这两个文件用于加密磁盘文件。

“坏兔子”通过以上三步骤来完成其勒索流程。一旦上述步骤完成,Bad Rabbit还会扫描内网SMB共享,使用弱密码和Mimikatz工具获取登录凭证等手段尝试登录和感染内网其他主机,在局域网中进行传播,对企业用户危害极大。

勒索界面

感染此恶意软件的计算机会跳转到勒索页面,提示受害者需要支付0.05比特币的赎金(合275美元)解锁他们的数据。勒索信息提供支付赎金的流程,限时40小时,否则勒索赎金将会增加。不过支付赎金之后是否可以解密电脑文件尚不清楚。

受害者电脑会显示如下的告知支付赎金的界面

与之前Petya/NotPetya勒索软件比较:

BadRabbit与之前爆发的Petya/NotPetya勒索软件有多个地方行为相同:包括使用开源的加密软件DiskCryptor对文档用RSA-2048的方式加密,和扫描内网SMB共享然后使用Mimikatz工具获取登录凭证尝试登录和感染内网其他主机。与Petya/NotPetya勒索软件不同的是从已知样本尚未发现通过永恒之蓝(EternalBlue)漏洞进行攻击传播,而是通过水坑攻击方式。

处置建议

“坏兔子”勒索病毒攻击事件有进一步扩散的趋势, 为避免受到威胁,建议加强互联网终端防护措施, 安装杀毒软件、升级病毒库,做好网络安全防护工作。

1、电脑安装防病毒安全软件,确认规则升级到最新。

2、关闭WMI服务来避免这个恶意软件通过网络散播。((WMI,中文名字叫Windows管理规范。WMI不仅可以获取想要的计算机数据,而且还可以用于远程控制。如何关闭WMI,大家可以百度一下,在windows的服务中关闭这个服务即可)

3、关闭Windows主机135/139/445等共享服务端口,禁用方法参考:

https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html

4、备份电脑上的重要文件到本机以外的其他机器上,检查组织内部的备份机制是否正常运作。

  • 赞助本站
  • 微信扫一扫
  • weinxin
  • 赞助本站
  • 支付宝扫一扫
  • weinxin
幸运草
【安全提醒】SQL数据库弱口令易成被勒索对象 劫持

【安全提醒】SQL数据库弱口令易成被勒索对象

运维工程师必备技能:网络排错 一、网络排错的必备条件 为什么还要必备条件?因为这里所讲的网络排错并不仅仅是停留在某一个小小命令的使用上,而是一套系统的方法,如果没有这些条件,我真的不能保证下面讲的这些...

发表评论