近日，一款名為“Bad Rabbit”的新型勒索病毒在東歐為主的各個(gè)國(guó)家和地區(qū)開(kāi)始傳播。攻擊目標(biāo)鎖定在特定俄語(yǔ)系網(wǎng)站及相關(guān)的訪(fǎng)問(wèn)者，主要影響了俄羅斯部分媒體組織，烏克蘭的部分業(yè)務(wù)，包括基輔的公共交通系統(tǒng)和國(guó)家敖德薩機(jī)場(chǎng)，此外還影響了保加利亞和土耳其。根據(jù)最新監(jiān)測(cè)顯示，中國(guó)地區(qū)目前基本沒(méi)受影響。

“Bad Rabbit”主要是通過(guò)偽裝Adobe Flash Player安裝程序讓用戶(hù)下載運(yùn)行和暴力枚舉SMB服務(wù)帳號(hào)密碼的形式進(jìn)行傳播，并未使用“永恒之藍(lán)”漏洞進(jìn)行傳播，感染形式上和此前的 NotPetya 勒索病毒相似，會(huì)主動(dòng)加密受害者的主引導(dǎo)記錄(MBR)。電腦感染病毒之后，其中文件將被加密，直至用戶(hù)支付贖金。“Bad Rabbit”在勒索贖金上有所變化，初始贖金為0.05 比特幣（約280美元），隨時(shí)間的推移會(huì)進(jìn)一步增加贖金。

據(jù)研究者分析， “Bad Rabbit”復(fù)用了部分Petya家族的代碼，而NotPetya同樣基于Petya勒索軟件所衍生。其中代碼的主要部分似乎已被重寫(xiě)。所以“Bad Rabbit” 與NotPetya在源代碼層面存在顯著的相似之處，可以視其與Petya家族有一定的繼承關(guān)系。勒索軟件使用了1dnscontrol.com域名作為惡意代碼的分發(fā)站點(diǎn)，此域名注冊(cè)于2016年3月22日并作了隱私保護(hù)，域名解析到IP 5.61.37.209，此IP所綁定其他域名也非?？梢桑瑯O有可能為同一攻擊團(tuán)伙所有。

還有專(zhuān)家認(rèn)為“Bad Rabbit”很可能屬于TeleBots APT的“杰作”。TeleBots以針對(duì)烏克蘭開(kāi)展攻擊而廣為信息安全專(zhuān)家們所熟知，很多人懷疑該組織在俄羅斯境外活動(dòng)，但接受俄羅斯政府當(dāng)局的控制。

安全專(zhuān)家建議：

備份電腦上的重要文件到本機(jī)以外的其他機(jī)器上，檢查組織內(nèi)部的備份機(jī)制是否正常運(yùn)作；

腦安裝防病毒安全軟件，確認(rèn)規(guī)則升級(jí)到最新；

檢查SMB共享是否使用了弱口令；

目前，360、火絨等國(guó)內(nèi)安全軟件已緊急升級(jí)，用戶(hù)更新版本即可查殺。

ice

收藏 海報(bào)分享