“Bad Rabbit”勒索病毒蔓延恐怖！新一款勒索病毒-文章资讯-爱宅域

小狼人Lv92

“Bad Rabbit”勒索病毒蔓延恐怖！新一款勒索病毒文章,资讯

近日，一款名为“Bad Rabbit”（坏兔子）的勒索软件在境外蔓延。国家互联网应急中心第一时间对该勒索软件进行分析，并就如何防护进行支招。

10月24日， “Bad Rabbit”（坏兔子）勒索软件在境外蔓延，目前涉及的国家主要有俄罗斯、乌克兰、德国、土耳其等欧洲国家，受害者包括俄罗斯的国际文传电讯社、乌克兰敖德萨国际机场、乌克兰基辅地铁系统等欧洲多国基础设施。

与之前的“Wannacry”与“Petya”不同，“Bad Rabbit”并未使用漏洞进行传播。攻击者通过攻陷合法网站，在合法网站中植入恶意代码，伪装成Adobe Flash升级更新弹窗，诱导用户主动点击下载并手动运行伪装成Adobe Flash的“Bad Rabbit”勒索软件。此勒索软件会加密感染者电脑中的文件，并提示受害者支付0.05比特币的赎金；此外，该勒索软件会扫描内网SMB共享，使用弱密码和Mimikatz工具获取登录凭证等手段尝试登录和感染内网其它主机。

目前，该勒索软件主要在境外蔓延。根据CNCERT监测，10月24日至10月25日期间，境内仅发现极少量IP存在该勒索软件下载以及分发行为。疑似感染地区包括广东、河南、福建与北京。截止到此通报发布日期，我国境内尚未发现规模性感染。

尽管此勒索软件并未利用漏洞进行大规模传播，但不排除后续出现利用漏洞进行传播的变种的可能。针对国内互联网用户, CNCERT的防护建议如下：

1）检查系统中是否存在以下三个文件之一，若存在则说明已经感染该勒索软件，请立即清除：

C:Windowsdispci.exe

C:Windowsinfpub.dat

C:Windowscscc.dat

2）安装并及时更新杀毒软件产品；

3）及时关闭计算机以及网络设备上的445和139端口；

4）及时更新系统安全补丁；

5）关闭不必要的网络共享；

6）使用强度较高的密码并定期更换，降低系统密码被破解的风险；

7）不要轻信网站弹窗，请从官方网站或可信渠道下载软件更新；

8）定期在不同的存储介质上备份计算机上的重要文件。

勒索病毒是企业的大敌，也是用户所避之不及的东西。据报道，现在又出现了一款名为Bad Rabbit的勒索病毒，他已经开始在欧洲地区蔓延，俄罗斯多个新闻网站都已遭殃。

　　近日，有报告显示，一种新的恶意软件正在欧洲蔓延。被研究人员称之为“Bad Rabbit”的勒索病毒开始出现在俄罗斯和乌克兰，似乎正在影响土耳其和德国，不过目前传播情况还不太明晰。

目前已发现病毒的目标包括乌克兰基础设施部门和基辅的公共交通系统。俄罗斯新闻社Interfax还发布了官方更新通告，表明已经受到黑客入侵，并正在努力恢复系统。卡巴斯基报告表示，俄罗斯新闻集团Fontanka.ru也受到了影响，并着重于初步分析受影响媒体的趋势。截至目前，卡巴斯基和ESET都注意到此次勒索病毒与NotPetya或ExPetr恶意软件有关。

　　卷入争议的俄罗斯安全公司在博客上写道：“我们的研究人员已经检测到多个受影响的网站，都是新闻或媒体类网站。根据我们的调查，这是有针对性的对企业网络的攻击，采取的方法与ExPetr攻击相似。但是，我们无法确认这与ExPetr是否有关。”

　　与其他通过被动方式传播的恶意软件不同的是，Bad Rabbit需要一个潜在的受害者下载并执行虚假的Adobe Flash安装程序文件才能感染。安全研究人员已经给出了针对恶意软件的早期“疫苗”，能够“接种到”已经感染的系统中。

　　创造Bad Rabbit的似乎是一名权游粉，该恶意软件引用了Daenerys Targaryen的龙和电视中颇受欢迎的灰虫子（Grey Worm）。

　　感染恶意软件的计算机会将用户跳转到.onion Tor域，用户需要支付0.05比特币（约276美元）来换取自己的数据。网站上的倒计时会显示赎金价格上涨前的剩余时间。虽然今年有一些破坏性恶意软件伪装成了勒索病毒，但是现在还不清楚Bad Rabbit在收到赎金后是否会解码。

　　像往常一样，我们不鼓励感染者支付赎金。第一，支付赎金并不能保证你能拿回自己的数据；第二，也是最重要的，拒绝支付赎金会有效阻止未来的勒索病毒攻击。

　　此次勒索病毒攻击是今年以来的第三次，此前两大攻击病毒分别是NotPetya和WannaCry。

6 已被阅读了3241次楼主 2017-11-06 23:24:39

回复列表

默认热门正序倒序

<p class="art_p" style="text-align: center; margin-right: 0.3rem; margin-bottom: 0.5rem; margin-left: 0.3rem; border: 0px; outline-width: 0px; font-size: 0.34rem; color: rgb(26, 26, 26); line-height: 0.6rem; word-break: normal; font-family: 'Microsoft YaHei', 'Helvetica Neue', Helvetica, STHeiTi, Arial, sans-serif;"><img src="/uploadfiles/images/1/20171106/232412_dfzQnL.jpg" alt="Image"> <p class="art_p" style="margin-right: 0.3rem; margin-bottom: 0.5rem; margin-left: 0.3rem; border: 0px; outline-width: 0px; font-size: 0.34rem; color: rgb(26, 26, 26); line-height: 0.6rem; word-break: normal; text-align: justify; font-family: 'Microsoft YaHei', 'Helvetica Neue', Helvetica, STHeiTi, Arial, sans-serif;">近日，一款名为“Bad Rabbit”（坏兔子）的勒索软件在境外蔓延。国家互联网应急中心第一时间对该勒索软件进行分析，并就如何防护进行支招。<p class="art_p" style="margin-right: 0.3rem; margin-bottom: 0.5rem; margin-left: 0.3rem; border: 0px; outline-width: 0px; font-size: 0.34rem; color: rgb(26, 26, 26); line-height: 0.6rem; word-break: normal; text-align: justify; font-family: 'Microsoft YaHei', 'Helvetica Neue', Helvetica, STHeiTi, Arial, sans-serif;">10月24日， “Bad Rabbit”（坏兔子）勒索软件在境外蔓延，目前涉及的国家主要有俄罗斯、乌克兰、德国、土耳其等欧洲国家，受害者包括俄罗斯的国际文传电讯社、乌克兰敖德萨国际机场、乌克兰基辅地铁系统等欧洲多国基础设施。<p class="art_p" style="margin-right: 0.3rem; margin-bottom: 0.5rem; margin-left: 0.3rem; border: 0px; outline-width: 0px; font-size: 0.34rem; color: rgb(26, 26, 26); line-height: 0.6rem; word-break: normal; text-align: justify; font-family: 'Microsoft YaHei', 'Helvetica Neue', Helvetica, STHeiTi, Arial, sans-serif;">与之前的“Wannacry”与“Petya”不同，“Bad Rabbit”并未使用漏洞进行传播。攻击者通过攻陷合法网站，在合法网站中植入恶意代码，伪装成Adobe Flash升级更新弹窗，诱导用户主动点击下载并手动运行伪装成Adobe Flash的“Bad Rabbit”勒索软件。此勒索软件会加密感染者电脑中的文件，并提示受害者支付0.05比特币的赎金；此外，该勒索软件会扫描内网SMB共享，使用弱密码和Mimikatz工具获取登录凭证等手段尝试登录和感染内网其它主机。<p class="art_p" style="margin-right: 0.3rem; margin-bottom: 0.5rem; margin-left: 0.3rem; border: 0px; outline-width: 0px; font-size: 0.34rem; color: rgb(26, 26, 26); line-height: 0.6rem; word-break: normal; text-align: justify; font-family: 'Microsoft YaHei', 'Helvetica Neue', Helvetica, STHeiTi, Arial, sans-serif;">目前，该勒索软件主要在境外蔓延。根据CNCERT监测，10月24日至10月25日期间，境内仅发现极少量IP存在该勒索软件下载以及分发行为。疑似感染地区包括广东、河南、福建与北京。截止到此通报发布日期，我国境内尚未发现规模性感染。<p class="art_p" style="margin-right: 0.3rem; margin-bottom: 0.5rem; margin-left: 0.3rem; border: 0px; outline-width: 0px; font-size: 0.34rem; color: rgb(26, 26, 26); line-height: 0.6rem; word-break: normal; text-align: justify; font-family: 'Microsoft YaHei', 'Helvetica Neue', Helvetica, STHeiTi, Arial, sans-serif;">尽管此勒索软件并未利用漏洞进行大规模传播，但不排除后续出现利用漏洞进行传播的变种的可能。针对国内互联网用户, CNCERT的防护建议如下：<p class="art_p" style="margin-right: 0.3rem; margin-bottom: 0.5rem; margin-left: 0.3rem; border: 0px; outline-width: 0px; font-size: 0.34rem; color: rgb(26, 26, 26); line-height: 0.6rem; word-break: normal; text-align: justify; font-family: 'Microsoft YaHei', 'Helvetica Neue', Helvetica, STHeiTi, Arial, sans-serif;">1）检查系统中是否存在以下三个文件之一，若存在则说明已经感染该勒索软件，请立即清除：<p class="art_p" style="margin-right: 0.3rem; margin-bottom: 0.5rem; margin-left: 0.3rem; border: 0px; outline-width: 0px; font-size: 0.34rem; color: rgb(26, 26, 26); line-height: 0.6rem; word-break: normal; text-align: justify; font-family: 'Microsoft YaHei', 'Helvetica Neue', Helvetica, STHeiTi, Arial, sans-serif;">C:Windowsdispci.exe<p class="art_p" style="margin-right: 0.3rem; margin-bottom: 0.5rem; margin-left: 0.3rem; border: 0px; outline-width: 0px; font-size: 0.34rem; color: rgb(26, 26, 26); line-height: 0.6rem; word-break: normal; text-align: justify; font-family: 'Microsoft YaHei', 'Helvetica Neue', Helvetica, STHeiTi, Arial, sans-serif;">C:Windowsinfpub.dat<p class="art_p" style="margin-right: 0.3rem; margin-bottom: 0.5rem; margin-left: 0.3rem; border: 0px; outline-width: 0px; font-size: 0.34rem; color: rgb(26, 26, 26); line-height: 0.6rem; word-break: normal; text-align: justify; font-family: 'Microsoft YaHei', 'Helvetica Neue', Helvetica, STHeiTi, Arial, sans-serif;">C:Windowscscc.dat<p class="art_p" style="margin-right: 0.3rem; margin-bottom: 0.5rem; margin-left: 0.3rem; border: 0px; outline-width: 0px; font-size: 0.34rem; color: rgb(26, 26, 26); line-height: 0.6rem; word-break: normal; text-align: justify; font-family: 'Microsoft YaHei', 'Helvetica Neue', Helvetica, STHeiTi, Arial, sans-serif;">2）安装并及时更新杀毒软件产品；<p class="art_p" style="margin-right: 0.3rem; margin-bottom: 0.5rem; margin-left: 0.3rem; border: 0px; outline-width: 0px; font-size: 0.34rem; color: rgb(26, 26, 26); line-height: 0.6rem; word-break: normal; text-align: justify; font-family: 'Microsoft YaHei', 'Helvetica Neue', Helvetica, STHeiTi, Arial, sans-serif;">3）及时关闭计算机以及网络设备上的445和139端口；<p class="art_p" style="margin-right: 0.3rem; margin-bottom: 0.5rem; margin-left: 0.3rem; border: 0px; outline-width: 0px; font-size: 0.34rem; color: rgb(26, 26, 26); line-height: 0.6rem; word-break: normal; text-align: justify; font-family: 'Microsoft YaHei', 'Helvetica Neue', Helvetica, STHeiTi, Arial, sans-serif;">4）及时更新系统安全补丁；<p class="art_p" style="margin-right: 0.3rem; margin-bottom: 0.5rem; margin-left: 0.3rem; border: 0px; outline-width: 0px; font-size: 0.34rem; color: rgb(26, 26, 26); line-height: 0.6rem; word-break: normal; text-align: justify; font-family: 'Microsoft YaHei', 'Helvetica Neue', Helvetica, STHeiTi, Arial, sans-serif;">5）关闭不必要的网络共享；<p class="art_p" style="margin-right: 0.3rem; margin-bottom: 0.5rem; margin-left: 0.3rem; border: 0px; outline-width: 0px; font-size: 0.34rem; color: rgb(26, 26, 26); line-height: 0.6rem; word-break: normal; text-align: justify; font-family: 'Microsoft YaHei', 'Helvetica Neue', Helvetica, STHeiTi, Arial, sans-serif;">6）使用强度较高的密码并定期更换，降低系统密码被破解的风险；<p class="art_p" style="margin-right: 0.3rem; margin-bottom: 0.5rem; margin-left: 0.3rem; border: 0px; outline-width: 0px; font-size: 0.34rem; color: rgb(26, 26, 26); line-height: 0.6rem; word-break: normal; text-align: justify; font-family: 'Microsoft YaHei', 'Helvetica Neue', Helvetica, STHeiTi, Arial, sans-serif;">7）不要轻信网站弹窗，请从官方网站或可信渠道下载软件更新；<p class="art_p" style="margin-right: 0.3rem; margin-bottom: 0.5rem; margin-left: 0.3rem; border: 0px; outline-width: 0px; font-size: 0.34rem; color: rgb(26, 26, 26); line-height: 0.6rem; word-break: normal; text-align: justify; font-family: 'Microsoft YaHei', 'Helvetica Neue', Helvetica, STHeiTi, Arial, sans-serif;">8）定期在不同的存储介质上备份计算机上的重要文件。<p data-domkey="k150998163069140881" style="margin-right: 4px; margin-bottom: 4px; margin-left: 4px; font-size: 16px; line-height: 30px; text-align: -webkit-auto; font-family: Arial, Helvetica, sans-serif; float: none; text-indent: 28px; text-overflow: clip; clear: none; background-color: rgb(255, 255, 255);">勒索病毒是企业的大敌，也是用户所避之不及的东西。据报道，现在又出现了一款名为Bad Rabbit的勒索病毒，他已经开始在欧洲地区蔓延，俄罗斯多个新闻网站都已遭殃。<p data-domkey="k150998162839946766" style="margin-right: 4px; margin-bottom: 4px; margin-left: 4px; font-size: 16px; line-height: 30px; text-align: -webkit-auto; font-family: Arial, Helvetica, sans-serif; float: none; text-indent: 28px; text-overflow: clip; clear: none; background-color: rgb(255, 255, 255);">　　近日，有报告显示，一种新的恶意软件正在欧洲蔓延。被研究人员称之为“Bad Rabbit”的勒索病毒开始出现在俄罗斯和乌克兰，似乎正在影响土耳其和德国，不过目前传播情况还不太明晰。<p data-domkey="k150998162839946766" style="margin-right: 4px; margin-bottom: 4px; margin-left: 4px; font-size: 16px; line-height: 30px; text-align: -webkit-auto; font-family: Arial, Helvetica, sans-serif; float: none; text-indent: 28px; text-overflow: clip; clear: none; background-color: rgb(255, 255, 255);"> <p data-domkey="k150998162839946766" style="margin-right: 4px; margin-bottom: 4px; margin-left: 4px; font-size: 16px; line-height: 30px; text-align: -webkit-auto; font-family: Arial, Helvetica, sans-serif; float: none; text-indent: 28px; text-overflow: clip; clear: none; background-color: rgb(255, 255, 255);">目前已发现病毒的目标包括乌克兰基础设施部门和基辅的公共交通系统。俄罗斯新闻社Interfax还发布了官方更新通告，表明已经受到黑客入侵，并正在努力恢复系统。卡巴斯基报告表示，俄罗斯新闻集团Fontanka.ru也受到了影响，并着重于初步分析受影响媒体的趋势。截至目前，卡巴斯基和ESET都注意到此次勒索病毒与NotPetya或ExPetr恶意软件有关。<p data-domkey="k150998164356033085" style="margin-right: 4px; margin-bottom: 4px; margin-left: 4px; font-size: 16px; line-height: 30px; text-align: -webkit-auto; font-family: Arial, Helvetica, sans-serif; float: none; text-indent: 28px; text-overflow: clip; clear: none; background-color: rgb(255, 255, 255);">　　卷入争议的俄罗斯安全公司在博客上写道：“我们的研究人员已经检测到多个受影响的网站，都是新闻或媒体类网站。根据我们的调查，这是有针对性的对企业网络的攻击，采取的方法与ExPetr攻击相似。但是，我们无法确认这与ExPetr是否有关。”<p data-domkey="k150998161565013183" style="margin-right: 4px; margin-bottom: 4px; margin-left: 4px; font-size: 16px; line-height: 30px; text-align: -webkit-auto; font-family: Arial, Helvetica, sans-serif; float: none; text-indent: 28px; text-overflow: clip; clear: none; background-color: rgb(255, 255, 255);">　　与其他通过被动方式传播的恶意软件不同的是，Bad Rabbit需要一个潜在的受害者下载并执行虚假的Adobe Flash安装程序文件才能感染。安全研究人员已经给出了针对恶意软件的早期“疫苗”，能够“接种到”已经感染的系统中。<p style="margin-right: 4px; margin-bottom: 4px; margin-left: 4px; font-size: 16px; line-height: 30px; text-align: -webkit-auto; font-family: Arial, Helvetica, sans-serif; float: none; text-indent: 28px; text-overflow: clip; clear: none; background-color: rgb(255, 255, 255);">　　创造Bad Rabbit的似乎是一名权游粉，该恶意软件引用了Daenerys Targaryen的龙和电视中颇受欢迎的灰虫子（Grey Worm）。<p data-domkey="k150998161620190316" style="margin-right: 4px; margin-bottom: 4px; margin-left: 4px; font-size: 16px; line-height: 30px; text-align: -webkit-auto; font-family: Arial, Helvetica, sans-serif; float: none; text-indent: 28px; text-overflow: clip; clear: none; background-color: rgb(255, 255, 255);">　　感染恶意软件的计算机会将用户跳转到.onion Tor域，用户需要支付0.05比特币（约276美元）来换取自己的数据。网站上的倒计时会显示赎金价格上涨前的剩余时间。虽然今年有一些破坏性恶意软件伪装成了勒索病毒，但是现在还不清楚Bad Rabbit在收到赎金后是否会解码。<p data-domkey="k150998164428916152" style="margin-right: 4px; margin-bottom: 4px; margin-left: 4px; font-size: 16px; line-height: 30px; text-align: -webkit-auto; font-family: Arial, Helvetica, sans-serif; float: none; text-indent: 28px; text-overflow: clip; clear: none; background-color: rgb(255, 255, 255);">　　像往常一样，我们不鼓励感染者支付赎金。第一，支付赎金并不能保证你能拿回自己的数据；第二，也是最重要的，拒绝支付赎金会有效阻止未来的勒索病毒攻击。<p data-domkey="k150998162563572256" style="margin-right: 4px; margin-bottom: 4px; margin-left: 4px; font-size: 16px; line-height: 30px; text-align: -webkit-auto; font-family: Arial, Helvetica, sans-serif; float: none; text-indent: 28px; text-overflow: clip; clear: none; background-color: rgb(255, 255, 255);">　　此次勒索病毒攻击是今年以来的第三次，此前两大攻击病毒分别是NotPetya和WannaCry。