【安全预警公告】新勒索病毒Bad Rabbit(坏兔子)来袭,请做好防御准备
2017年10月24日,国外媒体报道出现了一种新的勒索病毒——Bad Rabbit(坏兔子),该勒索病毒最早在俄罗斯和乌克兰出现,跟之前的NotPetya勒索病毒功能上有很多相同的代码实现,比如创建任务计划关机重启、通过读取当前用户密码和内置的 系统 弱口令来遍历局域网内电脑传播,最后加密系统文件后提示通过支付比特币解密。
一.勒索病毒行为
勒索病毒样本主要伪装成Adobe Flash Player安装程序,版本为27.0.0.170,甚至还带有数字签名证书,文件编译时间为2017年10月22日,运行主样本后会在系统目录下(通常是C:\Windows目录)生成多个文件:infpub.dat、dispci.exe、cscc.dat,其中infpub.dat通过rundll32.exe运行,同时会创建任务计划重启系统,系统重启后运行dispci.exe文件(该文件实际是DiskCryptor加密程序),主样本释放的文件的文件名是固定的,因此在勒索病毒运行早期如果发现进程异常可以直接结束掉。
加密文件类型:
勒索病毒会搜索电脑上以下扩展名的文件执行加密:
加密文件后会在系统根目录下留一个Readme.txt的文件,里面就是勒索病毒提示支付赎金的 信息 。
二.事件影响面
Bad Rabbit(坏兔子)勒索软件 通过入侵某合法新闻媒体网站,该媒体在乌克兰,土耳其,保加利亚,俄罗斯均有分网站。在受害者访问时会被引导安装一个伪装的flash安装程序(文件名为 install_flash_player. exe),用户一旦点击安装后就会被植入“坏兔子”勒索病毒。
勒索病毒通过Windows局域网共享协议传播(通过IPC$、ADMIN$连接),如果同局域网已有人中招,并且开启了共享 服务 ,可能会造成内网扩散。
勒索病毒通过读取已经中招电脑的当前用户密码和内置的弱口令列表传播,如果同局域网已有人中招,并且大家密码相同或是在列表中的弱密码,会有传播影响。
勒索病毒暂未发现通过系统漏洞传播,因此它反而可以覆盖所有的Windows系统,而不限于只存在漏洞的系统。
三.安全处置方案
该勒索病毒并非像今年5月12日的wannacry一样利用Windows SMB 0day漏洞传播,但仍存在较大的安全风险,为了避免遭受影响,建议所有用户按照以下措施排查自身业务:
四.情报来源
发布日期:2021-10-11 16:32:06
浏览次数:10
分类:技术文章
本文共 2356 字,大约阅读时间需要 7 分钟。
2017年10月24日,国外媒体报道出现了一种新的勒索病毒——Bad Rabbit(坏兔子),该勒索病毒最早在俄罗斯和乌克兰出现,跟之前的NotPetya勒索病毒功能上有很多相同的代码实现,比如创建任务计划关机重启、通过读取当前用户密码和内置的 系统 弱口令来遍历局域网内电脑传播,最后加密系统文件后提示通过支付比特币解密。
一.勒索病毒行为
勒索病毒样本主要伪装成Adobe Flash Player安装程序,版本为27.0.0.170,甚至还带有数字签名证书,文件编译时间为2017年10月22日,运行主样本后会在系统目录下(通常是C:\Windows目录)生成多个文件:infpub.dat、dispci.exe、cscc.dat,其中infpub.dat通过rundll32.exe运行,同时会创建任务计划重启系统,系统重启后运行dispci.exe文件(该文件实际是DiskCryptor加密程序),主样本释放的文件的文件名是固定的,因此在勒索病毒运行早期如果发现进程异常可以直接结束掉。
加密文件类型:
勒索病毒会搜索电脑上以下扩展名的文件执行加密:
- .3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf.der.dib.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.hpp.hxx.iso.java.jfif.jpe.jpeg.jpg.js.kdbx.key.mail.mdb.msg.nrg.odc.odf.odg.odi.odm.odp.ods.odt.ora.ost.ova.ovf.p12.p7b.p7c.pdf.pem.pfx.php.pmf.png.ppt.pptx.ps1.pst.pvi.py.pyc.pyw.qcow.qcow2.rar.rb.rtf.scm.sln.sql.tar.tib.tif.tiff.vb.vbox.vbs.vcb.vdi.vfd.vhd.vhdx.vmc.vmdk.vmsd.vmtm.vmx.vsdx.vsv.work.xls.xlsx.xml.xvd.zip
加密文件后会在系统根目录下留一个Readme.txt的文件,里面就是勒索病毒提示支付赎金的 信息 。
二.事件影响面
Bad Rabbit(坏兔子)勒索软件 通过入侵某合法新闻媒体网站,该媒体在乌克兰,土耳其,保加利亚,俄罗斯均有分网站。在受害者访问时会被引导安装一个伪装的flash安装程序(文件名为 install_flash_player. exe),用户一旦点击安装后就会被植入“坏兔子”勒索病毒。
勒索病毒通过Windows局域网共享协议传播(通过IPC$、ADMIN$连接),如果同局域网已有人中招,并且开启了共享 服务 ,可能会造成内网扩散。
勒索病毒通过读取已经中招电脑的当前用户密码和内置的弱口令列表传播,如果同局域网已有人中招,并且大家密码相同或是在列表中的弱密码,会有传播影响。
勒索病毒暂未发现通过系统漏洞传播,因此它反而可以覆盖所有的Windows系统,而不限于只存在漏洞的系统。
三.安全处置方案
该勒索病毒并非像今年5月12日的wannacry一样利用Windows SMB 0day漏洞传播,但仍存在较大的安全风险,为了避免遭受影响,建议所有用户按照以下措施排查自身业务:
- 常备份数据
- 安装防病毒软件
- 对操作系统和服务进行加固
- 配置严格的网络访问控制策略
- 禁止下载安装非官方软件
四.情报来源
- Bad Rabbit勒索软件分析报告:
- Malwarebytes针对Bad Rabbit勒索软件分析报告:
- http://blog.talosintelligence.com/2017/10/bad-rabbit.html#more
- https://www.forbes.com/forbes/welcome/toURL=https://www.forbes.com/sites/thomasbrewster/2017/10/24/bad-rabbit-ransomware-using-nsa-exploit-in-russia/&refURL=https://t.co/zIj BLXa1BI&referrer=https://t.co/zIj BLXa1BI
- https://www.virustotal.com/en/domain/1dnscontrol.com/information/
- https://securingtomorrow.mcafee.com/mcafee-labs/badrabbit-ransomware-burrows-russia-ukraine/
转载地址:https://blog.csdn.net/qq_35267530/article/details/78366192 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!
发表评论
最新留言
逛到本站,mark一下
[***.202.152.39]2024年03月11日 15时57分11秒
关于作者
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!
-- 愿君每日到此一游!
推荐文章
linux 停用用户,linux – 如何禁用用户的网络访问?
2019-04-21
linux服务器 缓存,Linux服务器内存使用分析及内存缓存
2019-04-21
linux英文包安装教程视频,Linux源码包安装过程讲解
2019-04-21
linux 关闭rsync服务器,linux下配置rsync服务器和实时同步
2019-04-21
linux初始化TCP服务失败,深入Linux系统追踪TCP初始化
2019-04-21
linux下vi编辑器的命令大全,linux下VI编辑器命令大全(超级完整版)
2019-04-21
C语言极坐标转直角坐标,C语言实现直角坐标转换为极坐标的方法
2019-04-21
16F877A和24C02通信汇编语言,PIC16f877A读写24c02程序
2019-04-21
用c语言编写小于n的所有素数,关于求N以内素数的一点小问题(N小于一亿)
2019-04-21
华为100万部鸿蒙,2019年Q4发布 华为100万部鸿蒙OS手机已开测
2019-04-21
html5 video视频资源保护,HTML5 视频播放 <video>
2019-04-21