近日,一款名为“BadRabbit”(坏兔子)的勒索软件在境外蔓延。国家互联网应急中心CNCERT第一时间对该勒索软件进行分析,现将有关情况通报如下:
01
漏洞基本情况
年10月24日,“BadRabbit”(坏兔子)勒索软件在境外蔓延,目前涉及的国家主要有俄罗斯、乌克兰、德国、土耳其等欧洲国家,受害者包括俄罗斯的国际文传电讯社、乌克兰敖德萨国际机场、乌克兰基辅地铁系统等欧洲多国基础设施。
与之前的“Wannacry”与“Petya”不同,“BadRabbit”并未使用漏洞进行传播。攻击者通过攻陷合法网站,在合法网站中植入恶意代码,伪装成AdobeFlash升级更新弹窗,诱导用户主动点击下载并手动运行伪装成AdobeFlash的“BadRabbit”勒索软件。此勒索软件会加密感染者电脑中的文件,并提示受害者支付0.05比特币的赎金;此外,该勒索软件会扫描内网SMB共享,使用弱密码和Mimikatz工具获取登录凭证等手段尝试登录和感染内网其它主机。
据中新网报道,金山毒霸安全实验室分析发现,坏兔子病毒传播者首先伪造一个AdobeFlashPlayer有安全更新的假消息,用来欺骗目标用户下载安装。
伪造AdobeFlash更新页面图源:ESET公司
一旦安装中毒后,病毒就会加密含以下扩展名的文件:
成功感染之后,“坏兔子”会向受害者们提供了一张“勒索纸条”,告诉他们,他们的文件已经“不能再用了”,“没有我们的解密服务,谁也无法恢复。”
勒索页面图源:ESET公司
和其他勒索病毒不同,该病毒加密破坏后的文档,并不修改文档扩展名,故中毒用户只在病毒弹出索要比特币的窗口或双击打开文档时才会发现系统已遭破坏。
受害者会看到一个支付页面,页面上有一个倒计时计时器。他们被告知,在最初的40个小时内,支付解密文件的费用是0.05比特币——大约美元。那些在计时器到达零之前不支付赎金的人被告知,费用将会上升,他们将不得不支付更多的费用。
支付倒计时页面图源:卡巴斯基实验室
该病毒还会利用局域网共享服务传播,如果局域网内用户较多使用了弱密码,一旦在内网出现感染,就可能造成较大影响。
02
漏洞影响范围
目前,该勒索软件主要在境外蔓延。根据CNCERT监测,10月24日至10月25日期间,境内仅发现极少量IP存在该勒索软件下载以及分发行为。疑似感染地区包括广东、河南、福建与北京。截止到此通报发布日期,我国境内尚未发现规模性感染。
还记得今年5月的勒索病毒吗?国内外很多高校、医院都感染了,国内很多各大高校实验室都中招了。
03
漏洞修复建议
预防,是最好的攻击。尽管此勒索软件并未利用漏洞进行大规模传播,但不排除后续出现利用漏洞进行传播的变种的可能。
针对国内互联网用户,CNCERT的防护建议如下:
1)检查系统中是否存在以下三个文件之一,若存在则说明已经感染该勒索软件,请立即清除:
C:\Windows\dispci.exe
C:\Windows\infpub.dat
C:\Windows\cscc.dat
2)安装并及时更新杀毒软件产品;
3)及时关闭计算机以及网络设备上的和端口;
4)及时更新系统安全补丁;
5)关闭不必要的网络共享;
6)使用强度较高的密码并定期更换,降低系统密码被破解的风险;
7)不要轻信网站弹窗,请从官方网站或可信渠道下载软件更新;
8)定期在不同的存储介质上备份计算机上的重要文件。
