新型勒索病毒“壞兔子”侵襲歐洲 已有軟件可全面查殺
近兩年,每到萬圣節前夕,黑客總要出來搞點事情!
去年10月底,美國發生了大斷網,而今年10月底,新型勒索病毒“Ransom/BadRabbit”(壞兔子)正侵襲歐洲多個國家。
目標是誰?
我們致茂網絡(http://www.dhjqfolas.cn)發現,目前“壞兔子”的攻擊目標鎖定在特定俄語系網站及相關的訪問者,主要影響了俄羅斯部分媒體組織,烏克蘭的部分業務,包括基輔的公共交通系統和國家敖德薩機場,此外還影響了保加利亞和土耳其。
根據“360網絡安全響應中心”的最新監測,中國地區目前基本沒受影響。
如何傳播?
據分析,該病毒通過偽裝Adobe Flash Player 安裝包進行傳播。電腦感染病毒之后,其中文件將被加密,直至用戶支付贖金。“壞兔子”主要是通過偽裝 flash 安裝程序讓用戶下載運行和暴力枚舉SMB服務帳號密碼的形式進行傳播,并未使用“永恒之藍”漏洞進行傳播,感染形式上和此前的 NotPetya 勒索病毒相似,會主動加密受害者的主引導記錄(MBR)。
致茂網絡(http://www.dhjqfolas.cn)發現,“壞兔子”在勒索贖金上有所變化,初始贖金為0.05 比特幣(約280美元),隨時間的推移會進一步增加贖金。
解決方案
我們致茂網絡(http://www.dhjqfolas.cn)建議,備份電腦上的重要文件到本機以外的其他機器上,檢查組織內部的備份機制是否正常運作。
電腦安裝防病毒安全軟件,確認規則升級到最新。檢查SMB共享是否使用了弱口令。
目前,360、火絨等國內安全軟件已緊急升級,用戶更新版本即可查殺。
關聯分析及溯源
勒索軟件復用了部分Petya家族的代碼,可以視其與Petya家族有一定的繼承關系。
勒索軟件使用了1dnscontrol.com域名作為惡意代碼的分發站點,此域名注冊于2016年3月22日并作了隱私保護:
域名解析到IP 5.61.37.209,此IP所綁定其他域名也非常可疑,極有可能為同一攻擊團伙所有:
