10月 24 日,一种名叫“坏兔子(Bad Rabbit)”的新型勒索病毒从俄罗斯和乌克兰最先开始发动攻击,并且在东欧国家蔓延。目前涉及的国家主要有俄罗斯、乌克兰、保加利亚、土耳其和德国,被入侵的网站包括俄罗斯的国际文传电讯社、乌克兰基辅的地铁系统、乌克兰敖德萨的国际机场以及乌克兰的基础设施部等多家大型机构。截至目前,尚未发现国内批量性的感染,但相关防范工作需提前做好!
攻击方式
Bad Rabbit(坏兔子)勒索病毒主要通过水坑站点进行传播。
什么是“水坑”站点?就是被水坑攻击了的网站。
什么是“水坑”攻击?“水坑式攻击”,是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击。这种攻击行为类似《动物世界》纪录片中的一种情节:捕食者埋伏在水里或者水坑周围,等其他动物前来喝水时发起攻击猎取食物。水坑攻击已经成为APT攻击的一种常用手段。
据分析,Bad Rabbit(坏兔子)的感染三部曲是:
1、 通过在已被黑站点展示虚假的Adobe Flash更新通知。
2、 当用户点击这些通知消息时,它就会下载一个名为install_flash_player.exe的文件。
3、 一旦虚假的安装包被点击,其会生成infpub.dat和dispci.exe两个加密文件,这两个文件用于加密磁盘文件。
“坏兔子”通过以上三步骤来完成其勒索流程。一旦上述步骤完成,Bad Rabbit还会扫描内网SMB共享,使用弱密码和Mimikatz工具获取登录凭证等手段尝试登录和感染内网其他主机,在局域网中进行传播,对企业用户危害极大。
勒索界面
感染此恶意软件的计算机会跳转到勒索页面,提示受害者需要支付0.05比特币的赎金(合275美元)解锁他们的数据。勒索信息提供支付赎金的流程,限时40小时,否则勒索赎金将会增加。不过支付赎金之后是否可以解密电脑文件尚不清楚。
受害者电脑会显示如下的告知支付赎金的界面
与之前Petya/NotPetya勒索软件比较:
BadRabbit与之前爆发的Petya/NotPetya勒索软件有多个地方行为相同:包括使用开源的加密软件DiskCryptor对文档用RSA-2048的方式加密,和扫描内网SMB共享然后使用Mimikatz工具获取登录凭证尝试登录和感染内网其他主机。与Petya/NotPetya勒索软件不同的是从已知样本尚未发现通过永恒之蓝(EternalBlue)漏洞进行攻击传播,而是通过水坑攻击方式。
处置建议
“坏兔子”勒索病毒攻击事件有进一步扩散的趋势, 为避免受到威胁,建议加强互联网终端防护措施, 安装杀毒软件、升级病毒库,做好网络安全防护工作。
1、电脑安装防病毒安全软件,确认规则升级到最新。
2、关闭WMI服务来避免这个恶意软件通过网络散播。((WMI,中文名字叫Windows管理规范。WMI不仅可以获取想要的计算机数据,而且还可以用于远程控制。如何关闭WMI,大家可以百度一下,在windows的服务中关闭这个服务即可)
3、关闭Windows主机135/139/445等共享服务端口,禁用方法参考:
https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html
4、备份电脑上的重要文件到本机以外的其他机器上,检查组织内部的备份机制是否正常运作。
- 赞助本站
- 微信扫一扫
- 加入Q群
- QQ扫一扫
评论