10月24日,欧洲遭遇新一轮勒索病毒攻击,俄罗斯、乌克兰、土耳其、德国等国均受到影响,目前已经开始向美国扩散。该勒索病毒被命名为“Bad Rabbit”(中文译名:坏兔子),亚信安全将其检测为Ransom_BADRABBIT.SM和Ransom_BADRABBIT.SMA.

该勒索软件将受害电脑的文件加密,让电脑无法使用,从而要求支付赎金。“坏兔子”勒索软件要求支付0.05比特币(合275美元)。经过研究人员深入分析,虽然 “坏兔子” 拥有部分与Petya勒索病毒相同的代码,但是最新的这波攻击不大可能造成Petya那种程度的全球性破坏。由于“坏兔子” 勒索病毒通过共享和弱密码在内网扩散,因此对企业危害较大。

亚信安全技术详解:“坏兔子”勒索病毒攻击

“坏兔子”勒索病毒通过水坑攻击传播,攻击者先在特定网站上注入包含URL的脚本文件,诱骗用户下载虚假的Flash安装程序“install_flash_player.exe”。嵌入的URL最终解析为:hxxp://1dnscontrol.com/flash_install,目前为止该链接已经不可访问。

【注入脚本代码】

【注入脚本代码】

一旦虚假的安装包被点击,其会生成加密文件infpub.dat和解密文件dispci.exe.“坏兔子”通过三步骤来完成其勒索流程,其对应的三个文件名均来源于美剧《权利的游戏》。

· rhaegal.job —— 负责执行解密文件。

· drogon.job —— 负责关闭受害者电脑。然后勒索软件加密系统中的文件,显示如下勒索信息。

【勒索信息】

【勒索信息】

· viserion_23.job —— 负责重启受害者电脑,重启后屏幕被锁定,显示如下信息:

【重启后屏幕显示的信息】

【重启后屏幕显示的信息】

“坏兔子”可以在内网中扩散传播,其使用Windows ManagementInstrumentation(WMI)和服务控制远程协议,在网络中生成并执行自身拷贝文件。在使用服务控制远程协议时,“Bad Rabbit”采用字典攻击方法获取登陆凭证。

经过深入分析,我们还发现“坏兔子”使用开源工具Mimikatz获取凭证,其也会使用合法磁盘加密工具DiskCryptor加密受害者系统。

亚信安全教你如何防御

1、暂时关闭内网中打开共享的机器;

2、关闭WMI服务;

3、更换复杂密码;

4、亚信安全最新病毒码版13.740.60已经包含此病毒检测(扫描引擎版本9.850及以上),该版本病毒码已经发布,请用户及时升级病毒码版本;

5、亚信安全客户开启OfficeScan 11的行为监控功能(AEGIS),可有效阻拦勒索病毒对用户文件的加密;

6、亚信安全DDAN沙盒产品已经包含此病毒的检测,检测名:VAN_FILE_INFECTOR.UMXX.

早期的分析说明,该病毒利用了与Petya勒索病毒相似的组件进行传播,由于黑客在Petya勒索病毒及其变种中,使用了与WannaCry相同的攻击方式,都是利用MS17-010(“永恒之蓝”)漏洞传播;有些更是通过带有DOC文档的垃圾邮件附件进行传播,通过Office CVE-2017-0199漏洞来触发攻击。因此,亚信安全建议用户采取如下防护措施:

·  及时更新系统补丁程序,或者部署虚拟补丁;

·  启用防火墙以及入侵检测和预防系统;

·  主动监控和验证进出网络的流量;

·  主动预防勒索软件可能的入侵途径,如邮件,网站;

·  使用数据分类和网络分段来减少数据暴露和损坏;

·  禁用SMB端口;

·  打全补丁程序,特别是ms17-010补丁程序。

针对Petya勒索病毒解决方案

亚信安全病毒码版本(13.500.60),云病毒码版本(13.500.71)已经包含此病毒检测,2017年6月28日已经发布,请用户及时升级病毒码版本。

针对“永恒之蓝”漏洞解决方案

亚信安全DeepSecurity和TDA 已经于5月2号发布规则能够抵御该勒索病毒在内网的传播:

·  TDA:2383:cve-2017-0144-RemoteCode Executeion-SMB(Request)

·  Deep Security:1008306- Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)

·  亚信安全DeepEdge在4月26日已发布了针对微软远程代码执行漏洞 CVE-2017-0144的4条IPS规则

(规则名称:微软MS17 010 SMB远程代码执行1-4,规则号:1133635,1133636,1133637,1133638)

针对Office CVE-2017-0199漏洞解决方案

亚信安全DeepSecurity 和TDA 已经于4月13日发布规则,拦截该漏洞:

·  1008285- Microsoft Word Remote Code Execution Vulnerability (CVE-2017-0199)

·  1008295 - RestrictMicrosoft Word RTF File With Embedded OLE2link Objec

·  1008297- IdentifiedSuspicious RTF File With Obfuscated Powershell Execution (CVE-2017-0199)

·  TDA Rule 18 : DNS response of a queried malwareCommand and Control domain

亚信安全WRS已经可以拦截上述恶意文档相关C&C服务器及恶意链接。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2017-11-15 16:34:00
市场情报 亚信安全童宁:网络威胁态势不断复杂精进 安全防护技术需持续升级
11月8日~9日,2017国际反病毒大会在天津召开,亚信安全作为协办单位,与来自全球多个国家、政府相关部门、协会和企业的网络信息安全和反病毒领域顶级专家汇聚一堂。本次大 <详情>
2017-10-31 11:43:00
市场情报 青云QingCloud携手亚信安全 提升云端深度防护能力
业级云服务商青云QingCloud(qingcloud.com)日前宣布,与中国领先的云与大数据安全技术服务商亚信安全达成合作,亚信安全服务器深度防护系统Deep Security正式入驻QingClo <详情>
2017-10-27 16:10:00
市场情报 亚信安全受邀出席vFORUM 2017 倡导打造云端自动纵深安全防御体系
今日,全球云计算与虚拟化盛会vFORUM 2017在京召开,亚信安全作为VMware精英合作伙伴,以铂金级赞助商身份受邀出席此次盛会,并以“云中的自动化纵深安全防御体系”为主题 <详情>
2017-10-17 11:48:06
云安全 面对日渐普及的云服务,你对云安全还未引起重视吗?
云服务正在迅速普及,更多企业和个人用户开始接受并习惯其服务,随之而来的安全威胁越来越多。安全威胁正变得复杂,国内云服务商除扮演服务提供商的角色外,还要担当起安全 <详情>