据国家 络与信息安全信息通 中心监测发现,2017年10月24日晚,俄罗斯、乌克兰等多个东欧国家遭Bad Rabbit勒索软件袭击,政府、交通、新闻等200多家机构受到不同程度影响。目前,美国已发现感染传播情况,国内尚未监测发现被攻击情况。该勒索软件初始通过虚假Flash更新链接传播。当用户访问被入侵控制的合法 站时, 页跳转到虚假的Flash更新 站,一旦用户下载并安装虚假的Flash更新包则系统被感染。目前,监测发现23个被入侵 站,1个位于日本,其他多数为俄语 站。被感染主机可通过SMB等服务端口探测并试图感染内 其他主机。
一、病毒信息
近日,名为“Bad Rabbit”(译为坏兔子)勒索软件现身 络,目前包括德国、乌克兰、土耳其在内的欧洲多国基础设施遭受勒索攻击。Bad Rabbit并不具备魔窟“WannaCry”、必加“Petya”集成永恒之蓝漏洞的远程攻击能力,但用户仍需防范。
请点击此处输入图片描述根据安全厂商的研究,目前攻击主要发生在俄罗斯、乌克兰、土耳其和德国等,而且没有使用漏洞利用程序,但是不排除会进而攻击中国的企业。它是一种路过式攻击:受害人从受感染 站下载假冒的Adobe Flash安装程序,手动启动.exe文件后就会感染病毒,而负责传播该软件的大部分是新闻或媒体 站。一旦被该勒索软件攻击,它会索要0.05比特币赎金,根据目前兑换率大约是280美元,并且根据支付时间而增加金额。
二、病毒传播途径
攻击者可能攻陷了一些正常 站,当受害者访问这些 站时欺骗受害者更新adobe flash,将下载链接重定向到自己的恶意服务器(
http://1dnscontrol.com/flash_install[.]php),受害者应是手动点击下载并运行了伪装的adobe flash程序而被感染。
另一种是攻击者可以通过已被感染的受害者,利用IPC $弱口令在内 横移传播。一旦组织机构有一台机器感染,内 中其他机器也可能受到攻击,建议排查内 IPC弱口令的主机,部署内 纵深防御体系。
三、防护建议
国外安全厂商发现该病毒存在终止开关,只要在C:\Windows位置创建一个名为cscc.dat的文件,任意内容即可,则不会感染当前病毒。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!