ice 近日,一款名为“Bad Rabbit”的新型勒索病毒在东欧为主的各个国家和地区开始传播。攻击目标锁定在特定俄语系网站及相关的访问者,主要影响了俄罗斯部分媒体组织,乌克兰的部分业务,包括基辅的公共交通系统和国家敖德萨机场,此外还影响了保加利亚和土耳其。根据最新监测显示,中国地区目前基本没受影响。
“Bad Rabbit”主要是通过伪装Adobe Flash Player安装程序让用户下载运行和暴力枚举SMB服务帐号密码的形式进行传播,并未使用“永恒之蓝”漏洞进行传播,感染形式上和此前的 NotPetya 勒索病毒相似,会主动加密受害者的主引导记录(MBR)。电脑感染病毒之后,其中文件将被加密,直至用户支付赎金。“Bad Rabbit”在勒索赎金上有所变化,初始赎金为0.05 比特币(约280美元),随时间的推移会进一步增加赎金。
据研究者分析, “Bad Rabbit”复用了部分Petya家族的代码,而NotPetya同样基于Petya勒索软件所衍生。其中代码的主要部分似乎已被重写。所以“Bad Rabbit” 与NotPetya在源代码层面存在显著的相似之处,可以视其与Petya家族有一定的继承关系。勒索软件使用了1dnscontrol.com域名作为恶意代码的分发站点,此域名注册于2016年3月22日并作了隐私保护,域名解析到IP 5.61.37.209,此IP所绑定其他域名也非常可疑,极有可能为同一攻击团伙所有。
还有专家认为“Bad Rabbit”很可能属于TeleBots APT的“杰作”。TeleBots以针对乌克兰开展攻击而广为信息安全专家们所熟知,很多人怀疑该组织在俄罗斯境外活动,但接受俄罗斯政府当局的控制。
安全专家建议:
备份电脑上的重要文件到本机以外的其他机器上,检查组织内部的备份机制是否正常运作;
脑安装防病毒安全软件,确认规则升级到最新;
检查SMB共享是否使用了弱口令;
目前,360、火绒等国内安全软件已紧急升级,用户更新版本即可查杀。
