新型勒索病毒“壞兔子”侵襲歐洲已有軟體可全面查殺

近兩年，每到萬聖節前夕，黑客總要出來搞點事情！

去年10月底，美國發生了大斷網，而今年10月底，新型勒索病毒“Ransom/BadRabbit”（壞兔子）正侵襲歐洲多個國家。

目標是誰？

雷鋒網發現，目前“壞兔子”的攻擊目標鎖定在特定俄語系網站及相關的訪問者，主要影響了俄羅斯部分媒體組織，烏克蘭的部分業務，包括基輔的公共交通系統和國家敖德薩機場，此外還影響了保加利亞和土耳其。

根據“360網路安全響應中心”的最新監測，中國地區目前基本沒受影響。

如何傳播？

據分析，該病毒通過偽裝Adobe Flash Player 安裝包進行傳播。電腦感染病毒之後，其中檔案將被加密，直至使用者支付贖金。

“壞兔子”主要是通過偽裝 flash 安裝程式讓使用者下載執行和暴力列舉SMB服務帳號密碼的形式進行傳播，並未使用“永恆之藍”漏洞進行傳播，感染形式上和此前的 NotPetya 勒索病毒相似，會主動加密受害者的主開機記錄(MBR)。

雷鋒網(公眾號：雷鋒網)發現，“壞兔子”在勒索贖金上有所變化，初始贖金為0.05 比特幣（約280美元），隨時間的推移會進一步增加贖金。

解決方案

雷鋒網建議，備份電腦上的重要檔案到本機以外的其他機器上，檢查組織內部的備份機制是否正常運作。

電腦安裝防病毒安全軟體，確認規則升級到最新。

檢查SMB共享是否使用了弱口令。

目前，360、火絨等國內安全軟體已緊急升級，使用者更新版本即可查殺。

關聯分析及溯源

勒索軟體複用了部分Petya家族的程式碼，可以視其與Petya家族有一定的繼承關係。

勒索軟體使用了1dnscontrol.com域名作為惡意程式碼的分發站點，此域名註冊於2016年3月22日並作了隱私保護：

域名解析到IP 5.61.37.209，此IP所繫結其他域名也非常可疑，極有可能為同一攻擊團伙所有：

本文作者：郭佳

本文轉自雷鋒網禁止二次轉載，原文連結