一、病毒信息
近日,名为“Bad Rabbit”(译为坏兔子)勒索软件现身网络,目前包括德国、乌克兰、土耳其在内的欧洲多国基础设施遭受勒索攻击。Bad Rabbit并不具备魔窟“WannaCry”、必加“Petya”集成永恒之蓝漏洞的远程攻击能力,但用户仍需防范。
根据安全厂商的研究,目前攻击主要发生在俄罗斯、乌克兰、土耳其和德国等,而且没有使用漏洞利用程序,但是不排除会进而攻击中国的企业。它是一种路过式攻击:受害人从受感染网站下载假冒的Adobe Flash安装程序,手动启动.exe文件后就会感染病毒,而负责传播该软件的大部分是新闻或媒体网站。一旦被该勒索软件攻击,它会索要0.05比特币赎金,根据目前兑换率大约是280美元,并且根据支付时间而增加金额。
二、病毒传播途径
攻击者可能攻陷了一些正常网站,当受害者访问这些网站时欺骗受害者更新adobe flash,将下载链接重定向到自己的恶意服务器(http://1dnscontrol.com/flash_install[.]php),受害者应是手动点击下载并运行了伪装的adobe flash程序而被感染。
另一种是攻击者可以通过已被感染的受害者,利用IPC $弱口令在内网横移传播。一旦组织机构有一台机器感染,内网中其他机器也可能受到攻击,建议排查内网IPC弱口令的主机,部署内网纵深防御体系。
三、防护建议
安全狗建议大家,下载Adobe Flash时务必到官网下载,切忌下载来源不明的软件,并且要安装杀毒软件来防护此类恶意软件。
国外安全厂商发现该病毒存在终止开关,只要在C:\\Windows位置创建一个名为cscc.dat的文件,任意内容即可,则不会感染当前病毒。