MyException - 我的异常网
当前位置:我的异常网» 行业应用 » 新讹诈病毒Bad Rabbit(坏兔子)来袭,请做好防御准备

新讹诈病毒Bad Rabbit(坏兔子)来袭,请做好防御准备

www.MyException.Cn  网友分享于:2013-11-16  浏览:0次
新勒索病毒Bad Rabbit(坏兔子)来袭,请做好防御准备

2017年10月24日,国外媒体报道出现了一种新的勒索病毒——Bad Rabbit(坏兔子),该勒索病毒最早在俄罗斯和乌克兰出现,跟之前的NotPetya勒索病毒功能上有很多相同的代码实现,比如创建任务计划关机重启、通过读取当前用户密码和内置的系统弱口令来遍历局域网内电脑传播,最后加密系统文件后提示通过支付比特币解密。


一.勒索病毒行为
勒索病毒样本主要伪装成Adobe Flash Player安装程序,版本为27.0.0.170,甚至还带有数字签名证书,文件编译时间为2017年10月22日,运行主样本后会在系统目录下(通常是C:\Windows目录)生成多个文件:infpub.dat、dispci.exe、cscc.dat,其中infpub.dat通过rundll32.exe运行,同时会创建任务计划重启系统,系统重启后运行dispci.exe文件(该文件实际是DiskCryptor加密程序),主样本释放的文件的文件名是固定的,因此在勒索病毒运行早期如果发现进程异常可以直接结束掉。


加密文件类型:
勒索病毒会搜索电脑上以下扩展名的文件执行加密:
复制代码
.3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf.der.dib.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.hpp.hxx.iso.java.jfif.jpe.jpeg.jpg.js.kdbx.key.mail.mdb.msg.nrg.odc.odf.odg.odi.odm.odp.ods.odt.ora.ost.ova.ovf.p12.p7b.p7c.pdf.pem.pfx.php.pmf.png.ppt.pptx.ps1.pst.pvi.py.pyc.pyw.qcow.qcow2.rar.rb.rtf.scm.sln.sql.tar.tib.tif.tiff.vb.vbox.vbs.vcb.vdi.vfd.vhd.vhdx.vmc.vmdk.vmsd.vmtm.vmx.vsdx.vsv.work.xls.xlsx.xml.xvd.zip

加密文件后会在系统根目录下留一个Readme.txt的文件,里面就是勒索病毒提示支付赎金的信息。


二.事件影响面
Bad Rabbit(坏兔子)勒索软件通过入侵某合法新闻媒体网站,该媒体在乌克兰,土耳其,保加利亚,俄罗斯均有分网站。在受害者访问时会被引导安装一个伪装的flash安装程序(文件名为 install_flash_player. exe),用户一旦点击安装后就会被植入“坏兔子”勒索病毒。

勒索病毒通过Windows局域网共享协议传播(通过IPC$、ADMIN$连接),如果同局域网已有人中招,并且开启了共享服务,可能会造成内网扩散。
勒索病毒通过读取已经中招电脑的当前用户密码和内置的弱口令列表传播,如果同局域网已有人中招,并且大家密码相同或是在列表中的弱密码,会有传播影响。
勒索病毒暂未发现通过系统漏洞传播,因此它反而可以覆盖所有的Windows系统,而不限于只存在漏洞的系统。


三.安全处置方案
该勒索病毒并非像今年5月12日的wannacry一样利用Windows SMB 0day漏洞传播,但仍存在较大的安全风险,为了避免遭受影响,建议所有用户按照以下措施排查自身业务:
常备份数据
目前病毒样本已公开,新的变种可能会出现,建议开发或运维人员使用自动快照或人工备份方式对数据进行全备份,并养成备份好重要文件的习惯。
安装防病毒软件
Windows服务器上安装必要的防病毒软件,并确保更新杀毒软件病毒库,以便能检测到该勒索病毒。
对操作系统和服务进行加固
对服务器操作系统及服务软件进行安全加固,确保无高风险安全漏洞或不安全的配置项。
配置严格的网络访问控制策略
使用安全组策略或系统自带防火墙功能,限制ECS向外访问(outbound)185.149.120.3或1dnscontrol.com域名访问,同时对ECS、SLB服务的其他端口(例如:445、139、137等端口)进行内网出入方向的访问控制,防止暴露不必要的端口,为黑客提供利用条件。
禁止下载安装非官方软件
建议用户到官网下载软件安装Adobe Flash Player,所有软件下载后使用防病毒软件进行查杀。


四.情报来源
Bad Rabbit勒索软件分析报告:https://securelist.com/bad-rabbit-ransomware/82851/
Malwarebytes针对Bad Rabbit勒索软件分析报告:https://blog.malwarebytes.com/threat-analysis/2017/10/badrabbit-closer-look-new-version-petyanotpetya/
http://blog.talosintelligence.com/2017/10/bad-rabbit.html#more
https://www.forbes.com/forbes/welcome/toURL=https://www.forbes.com/sites/thomasbrewster/2017/10/24/bad-rabbit-ransomware-using-nsa-exploit-in-russia/&refURL=https://t.co/zIj BLXa1BI&referrer=https://t.co/zIj BLXa1BI
https://www.virustotal.com/en/domain/1dnscontrol.com/information/
https://securingtomorrow.mcafee.com/mcafee-labs/badrabbit-ransomware-burrows-russia-ukraine/

文章评论

程序员的鄙视链
程序员的鄙视链
10个帮程序员减压放松的网站
10个帮程序员减压放松的网站
5款最佳正则表达式编辑调试器
5款最佳正则表达式编辑调试器
“懒”出效率是程序员的美德
“懒”出效率是程序员的美德
10个调试和排错的小建议
10个调试和排错的小建议
我是如何打败拖延症的
我是如何打败拖延症的
60个开发者不容错过的免费资源库
60个开发者不容错过的免费资源库
 程序员的样子
程序员的样子
程序员的一天:一寸光阴一寸金
程序员的一天:一寸光阴一寸金
为啥Android手机总会越用越慢?
为啥Android手机总会越用越慢?
不懂技术不要对懂技术的人说这很容易实现
不懂技术不要对懂技术的人说这很容易实现
程序员和编码员之间的区别
程序员和编码员之间的区别
Google伦敦新总部 犹如星级庄园
Google伦敦新总部 犹如星级庄园
程序员必看的十大电影
程序员必看的十大电影
程序员应该关注的一些事儿
程序员应该关注的一些事儿
亲爱的项目经理,我恨你
亲爱的项目经理,我恨你
编程语言是女人
编程语言是女人
旅行,写作,编程
旅行,写作,编程
为什么程序员都是夜猫子
为什么程序员都是夜猫子
Web开发人员为什么越来越懒了?
Web开发人员为什么越来越懒了?
什么才是优秀的用户界面设计
什么才是优秀的用户界面设计
当下全球最炙手可热的八位少年创业者
当下全球最炙手可热的八位少年创业者
初级 vs 高级开发者 哪个性价比更高?
初级 vs 高级开发者 哪个性价比更高?
2013年美国开发者薪资调查报告
2013年美国开发者薪资调查报告
聊聊HTTPS和SSL/TLS协议
聊聊HTTPS和SSL/TLS协议
2013年中国软件开发者薪资调查报告
2013年中国软件开发者薪资调查报告
漫画:程序员的工作
漫画:程序员的工作
科技史上最臭名昭著的13大罪犯
科技史上最臭名昭著的13大罪犯
如何成为一名黑客
如何成为一名黑客
Web开发者需具备的8个好习惯
Web开发者需具备的8个好习惯
“肮脏的”IT工作排行榜
“肮脏的”IT工作排行榜
要嫁就嫁程序猿—钱多话少死的早
要嫁就嫁程序猿—钱多话少死的早
总结2014中国互联网十大段子
总结2014中国互联网十大段子
程序员都该阅读的书
程序员都该阅读的书
Java 与 .NET 的平台发展之争
Java 与 .NET 的平台发展之争
那些争议最大的编程观点
那些争议最大的编程观点
Java程序员必看电影
Java程序员必看电影
一个程序员的时间管理
一个程序员的时间管理
程序员最害怕的5件事 你中招了吗?
程序员最害怕的5件事 你中招了吗?
老美怎么看待阿里赴美上市
老美怎么看待阿里赴美上市
程序员眼里IE浏览器是什么样的
程序员眼里IE浏览器是什么样的
鲜为人知的编程真相
鲜为人知的编程真相
如何区分一个程序员是“老手“还是“新手“?
如何区分一个程序员是“老手“还是“新手“?
那些性感的让人尖叫的程序员
那些性感的让人尖叫的程序员
做程序猿的老婆应该注意的一些事情
做程序猿的老婆应该注意的一些事情
代码女神横空出世
代码女神横空出世
我的丈夫是个程序员
我的丈夫是个程序员
写给自己也写给你 自己到底该何去何从
写给自己也写给你 自己到底该何去何从
老程序员的下场
老程序员的下场
软件开发程序错误异常ExceptionCopyright © 2009-2015 MyException 版权所有