【安全预警公告】新勒索病毒Bad Rabbit(坏兔子)来袭,请做好防御准备

2017年10月24日，国外媒体报道出现了一种新的勒索病毒——Bad Rabbit(坏兔子)，该勒索病毒最早在俄罗斯和乌克兰出现，跟之前的NotPetya勒索病毒功能上有很多相同的代码实现，比如创建任务计划关机重启、通过读取当前用户密码和内置的系统弱口令来遍历局域网内电脑传播，最后加密系统文件后提示通过支付比特币解密。

一.勒索病毒行为
勒索病毒样本主要伪装成Adobe Flash Player安装程序，版本为27.0.0.170，甚至还带有数字签名证书，文件编译时间为2017年10月22日，运行主样本后会在系统目录下（通常是C:\Windows目录）生成多个文件：infpub.dat、dispci.exe、cscc.dat，其中infpub.dat通过rundll32.exe运行，同时会创建任务计划重启系统，系统重启后运行dispci.exe文件（该文件实际是DiskCryptor加密程序），主样本释放的文件的文件名是固定的，因此在勒索病毒运行早期如果发现进程异常可以直接结束掉。

加密文件类型：
勒索病毒会搜索电脑上以下扩展名的文件执行加密：

复制代码

.3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf.der.dib.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.hpp.hxx.iso.java.jfif.jpe.jpeg.jpg.js.kdbx.key.mail.mdb.msg.nrg.odc.odf.odg.odi.odm.odp.ods.odt.ora.ost.ova.ovf.p12.p7b.p7c.pdf.pem.pfx.php.pmf.png.ppt.pptx.ps1.pst.pvi.py.pyc.pyw.qcow.qcow2.rar.rb.rtf.scm.sln.sql.tar.tib.tif.tiff.vb.vbox.vbs.vcb.vdi.vfd.vhd.vhdx.vmc.vmdk.vmsd.vmtm.vmx.vsdx.vsv.work.xls.xlsx.xml.xvd.zip

加密文件后会在系统根目录下留一个Readme.txt的文件，里面就是勒索病毒提示支付赎金的信息。

二.事件影响面
Bad Rabbit(坏兔子)勒索软件通过入侵某合法新闻媒体网站，该媒体在乌克兰，土耳其，保加利亚，俄罗斯均有分网站。在受害者访问时会被引导安装一个伪装的flash安装程序（文件名为 install_flash_player. exe），用户一旦点击安装后就会被植入“坏兔子”勒索病毒。

勒索病毒通过Windows局域网共享协议传播（通过IPC$、ADMIN$连接），如果同局域网已有人中招，并且开启了共享服务，可能会造成内网扩散。
勒索病毒通过读取已经中招电脑的当前用户密码和内置的弱口令列表传播，如果同局域网已有人中招，并且大家密码相同或是在列表中的弱密码，会有传播影响。
勒索病毒暂未发现通过系统漏洞传播，因此它反而可以覆盖所有的Windows系统，而不限于只存在漏洞的系统。

三.安全处置方案
该勒索病毒并非像今年5月12日的wannacry一样利用Windows SMB 0day漏洞传播，但仍存在较大的安全风险，为了避免遭受影响，建议所有用户按照以下措施排查自身业务:

常备份数据

目前病毒样本已公开，新的变种可能会出现，建议开发或运维人员使用自动快照或人工备份方式对数据进行全备份，并养成备份好重要文件的习惯。

安装防病毒软件

Windows服务器上安装必要的防病毒软件，并确保更新杀毒软件病毒库，以便能检测到该勒索病毒。

对操作系统和服务进行加固

对服务器操作系统及服务软件进行安全加固，确保无高风险安全漏洞或不安全的配置项。

配置严格的网络访问控制策略

使用安全组策略或系统自带防火墙功能，限制ECS向外访问(outbound)185.149.120.3或1dnscontrol.com域名访问，同时对ECS、SLB服务的其他端口（例如:445、139、137等端口）进行内网出入方向的访问控制，防止暴露不必要的端口，为黑客提供利用条件。

禁止下载安装非官方软件

建议用户到官网下载软件安装Adobe Flash Player，所有软件下载后使用防病毒软件进行查杀。

四.情报来源

Bad Rabbit勒索软件分析报告:https://securelist.com/bad-rabbit-ransomware/82851/
Malwarebytes针对Bad Rabbit勒索软件分析报告:https://blog.malwarebytes.com/threat-analysis/2017/10/badrabbit-closer-look-new-version-petyanotpetya/
http://blog.talosintelligence.com/2017/10/bad-rabbit.html#more
https://www.forbes.com/forbes/welcome/toURL=https://www.forbes.com/sites/thomasbrewster/2017/10/24/bad-rabbit-ransomware-using-nsa-exploit-in-russia/&refURL=https://t.co/zIj BLXa1BI&referrer=https://t.co/zIj BLXa1BI
https://www.virustotal.com/en/domain/1dnscontrol.com/information/

https://securingtomorrow.mcafee.com/mcafee-labs/badrabbit-ransomware-burrows-russia-ukraine/

原文链接

【安全预警公告】新勒索病毒Bad Rabbit(坏兔子)来袭,请做好防御准备相关推荐

新勒索病毒Bad Rabbit(坏兔子)来袭,请做好防御准备
点击有惊喜 2017年10月24日,国外媒体报道出现了一种新的勒索病毒--Bad Rabbit(坏兔子),该勒索病毒最早在俄罗斯和乌克兰出现,跟之前的NotPetya勒索病毒功能上有很多相同的代码 ...
新勒索病毒 Bad Rabbit 来袭，国内有感染爆发趋势；TensorFlow中文社区论坛测试版上线...
(点击上方蓝字,快速关注我们) 转自:开源中国.solidot.cnBeta.腾讯科技等 0.新勒索软件 Bad Rabbit 来袭,国内有感染爆发趋势据外媒报道,近日一款新型勒索病毒 BadRab ...
2019勒索病毒攻击盘点，企业该如何做好防范？
看似平静的2019,勒索病毒的危害却并没有减少!近日美国新泽西州最大的医疗机构Hackensack Merdian Health 被证实遭遇勒索软件攻击,导致一定数量的计算机被感染,医护人员只能在没有 ...
新勒索病毒 Petya 已席卷全球，多家跨国企业陷入瘫痪
(点击上方公众号,可快速关注) 消息综合自:Solidot 和腾讯科技在 WannaCry 之后,全世界的众多企业又遭遇了另一波勒索软件攻击,但这一次攻击者采用的方法不是利用未修复的漏洞,而是软件 ...
勒索病毒大爆发，教你提前做好预防措施
2010年6月震网(Stuxnet)病毒首次被检测出来,它是第一个专门定向攻击真实世界中基础(能源)设施的"蠕虫"病毒,比如核电站,水坝,国家电网."震网"病毒 ...
警惕！勒索病毒DXXD 2.0版来袭，黑客称只能缴纳赎金无法破解
一波未平,一波又起. 10月13日,有一起突发事件:据受害者爆料,本来一路心情愉快地去上班,开机却遭遇突发异常状况:"昨天下班前电脑还好好的,今天突然开机之后电脑突然很卡,我并没有在意.结果 ...
新后缀勒索病毒.phobos 解密成功 sql数据恢复
后缀是phobos的勒索病毒解密成功,可以百分百完美解密,包括sql数据库文件. 2019年以来后缀是ETH的勒索病毒肆虐网络,这种勒索病毒危害大,范围广.无视任何网络,请大家做好防范. 新勒索病毒后 ...
全新勒索病毒爆发：一样的套路这次没人上当了
导读北京时间6月28日晚间消息,新勒索病毒"Petya"昨日席卷了整个欧洲,之后迅速向全球蔓延.但到目前为止,黑客仅收到7064英镑(约合9000美元)的赎金. 本周二,一种新型 ...
Crysis勒索病毒中毒经历及漏洞查堵[勒索邮箱openpgp@foxmail.com]
Crysis 勒索病毒中毒经历及漏洞查堵[勒索邮箱openpgp@foxmail.com] 发现中毒出现空白快捷方式图标文件后缀改变确认中毒处理病毒断网排查病毒定位病毒查堵漏洞确定时 ...

【安全预警公告】新勒索病毒Bad Rabbit(坏兔子)来袭,请做好防御准备

【安全预警公告】新勒索病毒Bad Rabbit(坏兔子)来袭,请做好防御准备相关推荐

最新文章

热门文章