【安全预警公告】新勒索病毒Bad Rabbit(坏兔子)来袭,请做好防御准备
发布日期:2021-10-11 16:32:06 浏览次数:10 分类:技术文章

本文共 2356 字,大约阅读时间需要 7 分钟。

 

2017年10月24日,国外媒体报道出现了一种新的勒索病毒——Bad Rabbit(坏兔子),该勒索病毒最早在俄罗斯和乌克兰出现,跟之前的NotPetya勒索病毒功能上有很多相同的代码实现,比如创建任务计划关机重启、通过读取当前用户密码和内置的
系统
弱口令来遍历局域网内电脑传播,最后加密系统文件后提示通过支付比特币解密。
 

 

 

一.勒索病毒行为
 

勒索病毒样本主要伪装成Adobe Flash Player安装程序,版本为27.0.0.170,甚至还带有数字签名证书,文件编译时间为2017年10月22日,运行主样本后会在系统目录下(通常是C:\Windows目录)生成多个文件:infpub.dat、dispci.exe、cscc.dat,其中infpub.dat通过rundll32.exe运行,同时会创建任务计划重启系统,系统重启后运行dispci.exe文件(该文件实际是DiskCryptor加密程序),主样本释放的文件的文件名是固定的,因此在勒索病毒运行早期如果发现进程异常可以直接结束掉。
 

 

 

加密文件类型:
 

勒索病毒会搜索电脑上以下扩展名的文件执行加密:
  1. .3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf.der.dib.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.hpp.hxx.iso.java.jfif.jpe.jpeg.jpg.js.kdbx.key.mail.mdb.msg.nrg.odc.odf.odg.odi.odm.odp.ods.odt.ora.ost.ova.ovf.p12.p7b.p7c.pdf.pem.pfx.php.pmf.png.ppt.pptx.ps1.pst.pvi.py.pyc.pyw.qcow.qcow2.rar.rb.rtf.scm.sln.sql.tar.tib.tif.tiff.vb.vbox.vbs.vcb.vdi.vfd.vhd.vhdx.vmc.vmdk.vmsd.vmtm.vmx.vsdx.vsv.work.xls.xlsx.xml.xvd.zip
 

加密文件后会在系统根目录下留一个Readme.txt的文件,里面就是勒索病毒提示支付赎金的
信息
 

 

 

二.事件影响面
 

Bad Rabbit(坏兔子)勒索软件
通过入侵某合法新闻媒体网站,该媒体在乌克兰,土耳其,保加利亚,俄罗斯均有分网站。在受害者访问时会被引导安装一个伪装的flash安装程序(文件名为 install_flash_player. exe),用户一旦点击安装后就会被植入“坏兔子”勒索病毒。
 

 

勒索病毒通过Windows局域网共享协议传播(通过IPC$、ADMIN$连接),如果同局域网已有人中招,并且开启了共享
服务
,可能会造成内网扩散。
 

勒索病毒通过读取已经中招电脑的当前用户密码和内置的弱口令列表传播,如果同局域网已有人中招,并且大家密码相同或是在列表中的弱密码,会有传播影响。
 

勒索病毒暂未发现通过系统漏洞传播,因此它反而可以覆盖所有的Windows系统,而不限于只存在漏洞的系统。
 

 
 

三.安全处置方案
 

该勒索病毒并非像今年5月12日的wannacry一样利用Windows SMB 0day漏洞传播,但仍存在较大的安全风险,为了避免遭受影响,建议所有用户按照以下措施排查身业务:
 

  • 常备份数据
目前病毒样本已公开,新的变种可能会出现,建议开发或运维人员使用自动快照或人工备份方式对数据进行全备份,并养成备份好重要文件的习惯。
 

  • 安装防病毒软件
Windows服务器上安装必要的防病毒软件,并确保更新杀毒软件病毒库,以便能检测到该勒索病毒。
 

  • 对操作系统和服务进行加固
服务器
操作系统及服务软件进行安全加固,确保无高风险安全漏洞或不安全的
配置
项。
 

  • 配置严格的网络访问控制策略
使用安全组策略或系统自带防火墙功能,限制ECS向外访问(outbound)185.149.120.3或1dnscontrol.com域名访问,同时对ECS、SLB服务的其他端口(例如:445、139、137等端口)进行内网出入方向的访问控制,防止暴露不必要的端口,为黑客提供利用条件。
 

  • 禁止下载安装非官方软件
建议用户到官网下载软件安装Adobe Flash Player,所有软件下载后使用防病毒软件进行查杀。
 

 

 

四.情报来源
 

  • Bad Rabbit勒索软件分析报告:
  • Malwarebytes针对Bad Rabbit勒索软件分析报告:
  • http://blog.talosintelligence.com/2017/10/bad-rabbit.html#more
  • https://www.forbes.com/forbes/welcome/toURL=https://www.forbes.com/sites/thomasbrewster/2017/10/24/bad-rabbit-ransomware-using-nsa-exploit-in-russia/&refURL=https://t.co/zIj BLXa1BI&referrer=https://t.co/zIj BLXa1BI
  • https://www.virustotal.com/en/domain/1dnscontrol.com/information/

  • https://securingtomorrow.mcafee.com/mcafee-labs/badrabbit-ransomware-burrows-russia-ukraine/

转载地址:https://blog.csdn.net/qq_35267530/article/details/78366192 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!

上一篇:曾鸣:为什么要让「听得见炮火的士兵」做决定?| 干货
下一篇:阿里云双11活动撸福利攻略云服务器篇 必买爆款,包年低至240元

发表评论

最新留言

逛到本站,mark一下
[***.202.152.39]2024年03月11日 15时57分11秒

关于作者

    喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!
-- 愿君每日到此一游!

推荐文章

linux 停用用户,linux – 如何禁用用户的网络访问? 2019-04-21
linux服务器 缓存,Linux服务器内存使用分析及内存缓存 2019-04-21
linux查进程内存问题,关于linux 查看服务进程内存,cpu,内存占用的一些基础命令... 2019-04-21
linux英文包安装教程视频,Linux源码包安装过程讲解 2019-04-21
linux 关闭rsync服务器,linux下配置rsync服务器和实时同步 2019-04-21
linux初始化TCP服务失败,深入Linux系统追踪TCP初始化 2019-04-21
arch Linux添加源,在Arch Linux系统中使用Archlinuxcn源(清华源)的方法 2019-04-21
私人linux远程连接,Linux远程连接 - osc_5g1gl9wp的个人空间 - OSCHINA - 中文开源技术交流社区... 2019-04-21
windows文件迁移到linux,从Windows到Linux迁移之文件服务器(Samba和AD完美结合) 2019-04-21
linux下vi编辑器的命令大全,linux下VI编辑器命令大全(超级完整版) 2019-04-21
linux结构体数组的定义数组,task_struct结构体中的run_list和array域 2019-04-21
C语言极坐标转直角坐标,C语言实现直角坐标转换为极坐标的方法 2019-04-21
16F877A和24C02通信汇编语言,PIC16f877A读写24c02程序 2019-04-21
用c语言编写小于n的所有素数,关于求N以内素数的一点小问题(N小于一亿) 2019-04-21
华为100万部鸿蒙,2019年Q4发布 华为100万部鸿蒙OS手机已开测 2019-04-21
android+大富翁+局域网,【图片】大富翁6局域网(LAN)多人联机教程(求精)_大富翁吧_百度贴吧... 2019-04-21
html5 video视频资源保护,HTML5 视频播放 <video> 2019-04-21
html表头跟随滚动,JS实现table表格固定表头且表头随横向滚动而滚动_心善_前端开发者... 2019-04-21
rn webview加载本地静态html,React Native - Webview 加载本地文件 2019-04-21
dax powerbi 生成表函数_Power BI |DAX函数のCALCULATETABLE、CALENDAR函数以及相关表生成函数... 2019-04-21