亚信安全火力全开猎捕“坏兔子”,全歼详解
10月24日,欧洲遭遇新一轮勒索病毒攻击,俄罗斯、乌克兰、土耳其、德国等国均受到影响,目前已经开始向美国扩散。该勒索病毒被命名为“Bad Rabbit”(中文译名:坏兔子),亚信安全将其检测为Ransom_BADRABBIT.SM和Ransom_BADRABBIT.SMA。
该勒索软件将受害电脑的文件加密,让电脑无法使用,从而要求支付赎金。“坏兔子”勒索软件要求支付0.05比特币(合275美元)。经过研究人员深入分析,虽然 “坏兔子” 拥有部分与Petya勒索病毒相同的代码,但是最新的这波攻击不大可能造成Petya那种程度的全球性破坏。由于“坏兔子” 勒索病毒通过共享和弱密码在内网扩散,因此对企业危害较大。
亚信安全技术详解:“坏兔子”勒索病毒攻击
“坏兔子”勒索病毒通过水坑攻击传播,攻击者先在特定网站上注入包含URL的脚本文件,诱骗用户下载虚假的Flash安装程序“install_flash_player.exe”。嵌入的URL最终解析为:hxxp://1dnscontrol.com/flash_install,目前为止该链接已经不可访问。
【注入脚本代码】
一旦虚假的安装包被点击,其会生成加密文件infpub.dat和解密文件dispci.exe。“坏兔子”通过三步骤来完成其勒索流程,其对应的三个文件名均来源于美剧《权利的游戏》。
•rhaegal.job --- 负责执行解密文件。
•drogon.job --- 负责关闭受害者电脑。然后勒索软件加密系统中的文件,显示如下勒索信息。
【勒索信息】
•viserion_23.job --- 负责重启受害者电脑,重启后屏幕被锁定,显示如下信息:
【重启后屏幕显示的信息】
“坏兔子”可以在内网中扩散传播,其使用Windows ManagementInstrumentation(WMI)和服务控制远程协议,在网络中生成并执行自身拷贝文件。在使用服务控制远程协议时,“Bad Rabbit”采用字典攻击方法获取登陆凭证。
经过深入分析,我们还发现“坏兔子”使用开源工具Mimikatz获取凭证,其也会使用合法磁盘加密工具DiskCryptor加密受害者系统。
亚信安全教你如何防御
1、暂时关闭内网中打开共享的机器;
2、关闭WMI服务;
3、更换复杂密码;
4、亚信安全最新病毒码版13.740.60已经包含此病毒检测(扫描引擎版本9.850及以上),该版本病毒码已经发布,请用户及时升级病毒码版本;
5、亚信安全客户开启OfficeScan 11的行为监控功能(AEGIS),可有效阻拦勒索病毒对用户文件的加密;
6、亚信安全DDAN沙盒产品已经包含此病毒的检测,检测名:VAN_FILE_INFECTOR.UMXX。
早期的分析说明,该病毒利用了与Petya勒索病毒相似的组件进行传播,由于黑客在Petya勒索病毒及其变种中,使用了与WannaCry相同的攻击方式,都是利用MS17-010(”永恒之蓝”)漏洞传播;有些更是通过带有DOC文档的垃圾邮件附件进行传播,通过Office CVE-2017-0199漏洞来触发攻击。因此,亚信安全建议用户采取如下防护措施:
•及时更新系统补丁程序,或者部署虚拟补丁;
•启用防火墙以及入侵检测和预防系统;
•主动监控和验证进出网络的流量;
•主动预防勒索软件可能的入侵途径,如邮件,网站;
•使用数据分类和网络分段来减少数据暴露和损坏;
•禁用SMB端口;
•打全补丁程序,特别是ms17-010补丁程序。
针对Petya勒索病毒解决方案
亚信安全病毒码版本(13.500.60),云病毒码版本(13.500.71)已经包含此病毒检测,2017年6月28日已经发布,请用户及时升级病毒码版本。
针对”永恒之蓝”漏洞解决方案
亚信安全DeepSecurity和TDA 已经于5月2号发布规则能够抵御该勒索病毒在内网的传播:
•TDA:2383:cve-2017-0144-RemoteCode Executeion-SMB(Request)
•Deep Security:1008306- Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)
•亚信安全DeepEdge在4月26日已发布了针对微软远程代码执行漏洞 CVE-2017-0144的4条IPS规则
(规则名称:微软MS17 010 SMB远程代码执行1-4,规则号:1133635,1133636,1133637,1133638)
针对Office CVE-2017-0199漏洞解决方案
亚信安全DeepSecurity 和TDA 已经于4月13日发布规则,拦截该漏洞:
•1008285- Microsoft Word Remote Code Execution Vulnerability (CVE-2017-0199)
•1008295 - RestrictMicrosoft Word RTF File With Embedded OLE2link Objec
•1008297- IdentifiedSuspicious RTF File With Obfuscated Powershell Execution (CVE-2017-0199)
•TDA Rule 18 : DNS response of a queried malwareCommand and Control domain
亚信安全WRS已经可以拦截上述恶意文档相关C&C服务器及恶意链接。
原文发布时间为: 2017年10月26日
本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。
亚信安全火力全开猎捕“坏兔子”,全歼详解相关推荐
- MHDD修复坏道中文详解
MHDD修复坏道中文详解 工作环境在DOS下.需要注意的是,不要将MHDD放在需要检测及修复的硬盘上,另外,MHDD也无法在打开了写保护的软盘.硬盘及光盘上正常工作.运行MHDD后,MHDD首先同样要 ...
- Oracle corrupt block(坏块) 详解
转自:http://blog.csdn.net/tianlesoftware/article/details/5024966 一. 坏块说明 1.1 相关链接 在看坏块之前,先看几个相关的链接,在后面 ...
- Nginx安装以及详解
目录 简介 什么是Nginx nginx应用场景 nginx安装 nginx配置文件详解 模块详解 配置文件详解 nginx代理 nginx负载均衡 nginx负载均衡的方式 轮询 权重 iphash ...
- cat命令详解_好程序员Python培训之详解eval好与坏
好程序员Python培训之详解eval好与坏,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,下面我们一起来看一下吧. eval是Python的一个内置函数,这个函数的作用 ...
- 【安全预警公告】新勒索病毒Bad Rabbit(坏兔子)来袭,请做好防御准备
2017年10月24日,国外媒体报道出现了一种新的勒索病毒--Bad Rabbit(坏兔子),该勒索病毒最早在俄罗斯和乌克兰出现,跟之前的NotPetya勒索病毒功能上有很多相同的代码实现,比如创 ...
- 新勒索病毒Bad Rabbit(坏兔子)来袭,请做好防御准备
点击有惊喜 2017年10月24日,国外媒体报道出现了一种新的勒索病毒--Bad Rabbit(坏兔子),该勒索病毒最早在俄罗斯和乌克兰出现,跟之前的NotPetya勒索病毒功能上有很多相同的代码 ...
- java 面试题详解(转自传智播客张孝祥老师)
张孝祥正在整理Java就业面试题大全 - 每天进步一点点... ... - CSDN博客2011年11月24日 星期四 设为主页 加入收藏帮助 | 留言交流 | 登录 首 页 阅览室 馆友 我的图书馆 ...
- ORB-SLAM2代码/流程详解
ORB-SLAM2代码详解 文章目录 ORB-SLAM2代码详解 1. ORB-SLAM2代码详解01_ORB-SLAM2代码运行流程 1 运行官方Demo 1.2. 阅读代码之前你应该知道的事情 1 ...
- CI流水线配置文件参数详解(一)
文章目录 4. 参数详解(一) 4.1 ``script`` 4.2 ``image`` 指定使用Docker镜像.如 ``iamge:name`` ,暂时忽略. 4.3 ``before_scrip ...
最新文章
- Servlet的基本架构
- 【jQuery Demo】图片瀑布流实现
- moss管理中心崩溃之解决
- 年龄估计bridgeNet
- WPF路径动画(动态逆向动画)
- .NET Core实战项目之CMS 第八章 设计篇-内容管理极简设计全过程
- 向iOS开发者介绍C++
- liunx centos 如何添加一个新的网卡
- 读取金山词霸的词库程序
- 数据库维护计划中出现错误,数据库无法自动备份。 错误提示:作业失败。所有者(XXX\administrator用户拥有DB维护计划“数据库备份”作业)没有服务器访问权限。
- 用计算机和电视机组成家庭影院,如何让我的电脑连上我的家庭影院?
- 编程语言c语言程序包括的几种语句
- 几种 FPGA 芯片的工艺结构
- 湖大计算机学院博士后李晓灿,谢鲲-湖大信息科学与工程学院
- 19 | 耗电优化(下):耗电的优化方法与线上监控
- 解决每次上线更新文件需要手动清除缓存的问题-------js 、css自动清除浏览器缓存方法
- Python-爬虫请求~requsts~get
- 【python设计模式】6、装饰器模式
- 奇文共赏 史记-货殖列传-王石传
- 服务器怎么修改字体,云服务器怎么修改字体