对于勒索病毒大家并不陌生，特别是今年5月份的“永恒之蓝”蠕虫勒索病毒，给各大院校的同学们带来了不小的惊吓，也引起了社会各界的广泛关注。近日，今年的第三次大型勒索病毒——坏兔子(bad rabbit)在东欧爆发了！

1. Bad Rabbit基本信息

2017年10月24日，网上出现了一个新的勒索病毒Bad Rabbit(坏兔子)，该勒索病毒通过水坑攻击传播，攻击者先在特定网站上注入包含URL的代码，诱骗用户下载虚假的Adobe Flash Player安装包。用户在没有进行病毒检测的情况下直接运行，电脑便会感染该病毒，文件将被加密，需缴纳赎金赎回。 Bad Rabbit（坏兔子）短短几个小时内使得俄罗斯、乌克兰、德国、日本与土耳其等国超过200个大型机构被感染。与此前席卷多国的WannaCry、Petya勒索病毒类似，Bad Rabbit也会以感染的设备为跳板，攻击局域网内的其他电脑，形成“一台中招，一片遭殃”的情况。其使用WMI(Windows管理工具)接口和服务控制远程协议，采用字典攻击方法获取登陆凭证，在网络中生成并执行自身拷贝文件。Bad Rabbit可以通过共享和弱密码在内网扩散，因此对企业危害较大。

2.处理建议

“坏兔子”主要伪装成Adobe Flash Player安装程序，版本为27.0.0.170，运行主样本后会在系统目录下（通常是C:\Windows目录）生成多个文件，同时会创建任务计划重启系统，系统重启后运行dispci.exe文件（该文件实际是DiskCryptor加密程序），这几个文件名是固定的，因此在早期如果发现进程异常可以直接结束掉。

鉴于该勒索软件潜在危害较高，影响较大，建议采取以下紧急措施：

一、警惕类似Adobe Flash下载更新链接；

二、及时关闭TCP 137、139、445端口（如若需要开启端口建议定期更新微软补丁）；

三、检查内网机器设置，暂时关闭设备共享功能；

四、禁用Windows系统下的管理控件WMI服务。

3.关于三思

针对勒索病毒，三思网安为企业级用户量身定制了一款云存储安全产品——Secloud私有云存储系统。

Secloud私有云存储系统运行在Linux环境下，可基于客户自身的IT架构，以服务器和磁盘阵列为载体，部署在企业内网中。该系统不仅安全可靠、操作简单，而且存储成本低，避免对后台架构的变更，数据运维成本低，方便企业对重要数据的备份及其安全性的掌控，能有效应对勒索病毒、数据破坏、客户端系统或硬盘损坏等紧急情况！

近期一再出现的勒索病毒攻击事件验证了我们的判断，今后此类网络攻击将会呈现常态化，网络安全问题将会是企业发展过程中的重中之重，我们可以预知，这场没有硝烟的攻防战才刚刚开始。

三思网安再次郑重提醒：

安全意识很重要，数据备份是王道！

备注：文章选图来源互联网。