Bad Rabbit(坏兔子)来了,勒索病毒又双叒叕在搞事情!

摘要:对于勒索病毒大家并不陌生,特别是今年5月份的“永恒之蓝”蠕虫勒索病毒,给各大院校的同学们带来了不小的惊吓,也引起了社会各界的广泛关注。近日,今年的第三次大型勒索病毒——坏兔子(bad rabbit)在东欧爆发了!

对于勒索病毒大家并不陌生,特别是今年5月份的“永恒之蓝”蠕虫勒索病毒,给各大院校的同学们带来了不小的惊吓,也引起了社会各界的广泛关注。近日,今年的第三次大型勒索病毒——坏兔子(bad rabbit)在东欧爆发了!

1. Bad Rabbit基本信息

2017年10月24日,网上出现了一个新的勒索病毒Bad Rabbit(坏兔子),该勒索病毒通过水坑攻击传播,攻击者先在特定网站上注入包含URL的代码,诱骗用户下载虚假的Adobe Flash Player安装包。用户在没有进行病毒检测的情况下直接运行,电脑便会感染该病毒,文件将被加密,需缴纳赎金赎回。 Bad Rabbit(坏兔子)短短几个小时内使得俄罗斯、乌克兰、德国、日本与土耳其等国超过200个大型机构被感染。与此前席卷多国的WannaCry、Petya勒索病毒类似,Bad Rabbit也会以感染的设备为跳板,攻击局域网内的其他电脑,形成“一台中招,一片遭殃”的情况。其使用WMI(Windows管理工具)接口和服务控制远程协议,采用字典攻击方法获取登陆凭证,在网络中生成并执行自身拷贝文件。Bad Rabbit可以通过共享和弱密码在内网扩散,因此对企业危害较大。

 

2.处理建议

“坏兔子”主要伪装成Adobe Flash Player安装程序,版本为27.0.0.170,运行主样本后会在系统目录下(通常是C:\Windows目录)生成多个文件,同时会创建任务计划重启系统,系统重启后运行dispci.exe文件(该文件实际是DiskCryptor加密程序),这几个文件名是固定的,因此在早期如果发现进程异常可以直接结束掉。

鉴于该勒索软件潜在危害较高,影响较大,建议采取以下紧急措施:

一、警惕类似Adobe Flash下载更新链接;

二、及时关闭TCP 137、139、445端口(如若需要开启端口建议定期更新微软补丁);

三、检查内网机器设置,暂时关闭设备共享功能;

四、禁用Windows系统下的管理控件WMI服务。

3.关于三思

针对勒索病毒,三思网安为企业级用户量身定制了一款云存储安全产品——Secloud私有云存储系统。

Secloud私有云存储系统运行在Linux环境下,可基于客户自身的IT架构,以服务器和磁盘阵列为载体,部署在企业内网中。该系统不仅安全可靠、操作简单,而且存储成本低,避免对后台架构的变更,数据运维成本低,方便企业对重要数据的备份及其安全性的掌控,能有效应对勒索病毒、数据破坏、客户端系统或硬盘损坏等紧急情况!

近期一再出现的勒索病毒攻击事件验证了我们的判断,今后此类网络攻击将会呈现常态化,网络安全问题将会是企业发展过程中的重中之重,我们可以预知,这场没有硝烟的攻防战才刚刚开始。

三思网安再次郑重提醒:

安全意识很重要,数据备份是王道!

备注:文章选图来源互联网。

发布者:管理员   点击数:2158   发布时间:2017-10-26 17:29:08   更新时间:2018-11-08 17:10:15