獲取更多警務信息,請關注重慶網警
10月 24 日,一種名叫「壞兔子(Bad Rabbit)」的新型勒索病毒從俄羅斯和烏克蘭最先開始發動攻擊,並且在東歐國家蔓延。目前涉及的國家主要有俄羅斯、烏克蘭、保加利亞、土耳其和德國,被入侵的網站包括俄羅斯的國際文傳電訊社、烏克蘭基輔的地鐵系統、烏克蘭敖德薩的國際機場以及烏克蘭的基礎設施部等多家大型機構。截至目前,尚未發現國內批量性的感染,但相關防範工作需提前做好!
攻擊方式Bad Rabbit(壞兔子)勒索病毒主要通過水坑站點進行傳播。
什麼是「水坑」站點?就是被水坑攻擊了的網站。
什麼是「水坑」攻擊?「水坑式攻擊」,是指黑客通過分析被攻擊者的網絡活動規律,尋找被攻擊者經常訪問的網站的弱點,先攻下該網站並植入攻擊代碼,等待被攻擊者來訪時實施攻擊。這種攻擊行為類似《動物世界》紀錄片中的一種情節:捕食者埋伏在水裡或者水坑周圍,等其他動物前來喝水時發起攻擊獵取食物。水坑攻擊已經成為APT攻擊的一種常用手段。
據分析,Bad Rabbit(壞兔子)的感染三部曲是:
1、 通過在已被黑站點展示虛假的Adobe Flash更新通知。
2、 當用戶點擊這些通知消息時,它就會下載一個名為install_flash_player.exe的文件。
3、 一旦虛假的安裝包被點擊,其會生成infpub.dat和dispci.exe兩個加密文件,這兩個文件用於加密磁碟文件。
「壞兔子」通過以上三步驟來完成其勒索流程。一旦上述步驟完成,Bad Rabbit還會掃描內網SMB共享,使用弱密碼和Mimikatz工具獲取登錄憑證等手段嘗試登錄和感染內網其他主機,在區域網中進行傳播,對企業用戶危害極大。
勒索界面感染此惡意軟體的計算機會跳轉到勒索頁面,提示受害者需要支付0.05比特幣的贖金(合275美元)解鎖他們的數據。勒索信息提供支付贖金的流程,限時40小時,否則勒索贖金將會增加。不過支付贖金之後是否可以解密電腦文件尚不清楚。
受害者電腦會顯示如下的告知支付贖金的界面:
與之前Petya/NotPetya勒索軟體比較:BadRabbit與之前爆發的Petya/NotPetya勒索軟體有多個地方行為相同:包括使用開源的加密軟體DiskCryptor對文檔用RSA-2048的方式加密,和掃描內網SMB共享然後使用Mimikatz工具獲取登錄憑證嘗試登錄和感染內網其他主機。與Petya/NotPetya勒索軟體不同的是從已知樣本尚未發現通過永恆之藍(EternalBlue)漏洞進行攻擊傳播,而是通過水坑攻擊方式。
「壞兔子」勒索病毒攻擊事件有進一步擴散的趨勢, 為避免受到威脅,建議加強網際網路終端防護措施, 安裝殺毒軟體、升級病毒庫,做好網絡安全防護工作。
1、電腦安裝防病毒安全軟體,確認規則升級到最新。
2、關閉WMI服務來避免這個惡意軟體通過網絡散播。((WMI,中文名字叫Windows管理規範。WMI不僅可以獲取想要的計算機數據,而且還可以用於遠程控制。如何關閉WMI,大家可以百度一下,在windows的服務中關閉這個服務即可)
3、關閉Windows主機135/139/445等共享服務埠,禁用方法參考:
https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html
4、備份電腦上的重要文件到本機以外的其他機器上,檢查組織內部的備份機制是否正常運作。
1、不要輕信網站提示彈窗和下載程序,軟體更新通過安全可信渠道進行下載更新。
2、不要輕易打開包含未經請求的郵件的文件,或點開其中嵌入的連結。
3、使用高強度密碼並定期更換,降低受到惡意軟體感染風險。
(來源:珠海網警)