中新网安安全研究院新型勒索病毒BadRabbit“坏兔子”总结报告

2017年10月24日,国外媒体报道出现了一种新型勒索病毒——BadRabbit"坏兔子",在境外发动了大规模网络攻击,该勒索病毒与之前的Petya/NotPetya勒索软件勒索病毒功能上有很多相同的代码实现,比如读取当前用户密码和内置的系统弱口令来遍历局域网内电脑传播,最后加密系统文件后提示通过支付比特币解密。

受害者电脑会显示如下的告知支付赎金的界面:

1509022391629468.png

勒索病毒样本主要伪装成Adobe flash player升级更新弹窗,诱骗用户主动下载运行恶意程序,使用了开源的加密软件DiskCryptor对文档用RSA-2048的方式加密。

【风险等级】高危

【影响范围】俄罗斯、乌克兰等多个东欧国家遭BadRabbit勒索软件袭击,政府、交通、新闻等200多家机构受到不同程度影响。目前,美国已发现感染传播情况,国内尚未监测发现被攻击情况。

【紧急措施】

l 及时关闭TCP137、139、445端口;

l 检查内网机器设置,暂时关闭设备共享功能;

l 禁用Windows系统下的管理控件WMI服务。

【应对措施】

l 安装官方软件,建议从官网下载软件安装Adobe flash player;

l 安装防病毒软件,服务器上安装防病毒软件,并更新杀毒软件病毒库,以便能检测到该勒索病毒;

l 对操作系统进行加固,对操作系统及相关服务软件进行安全加固;

l 备份数据,病毒样本已公开,新的变种可能会出现,建议运维人员对数据进行全备份。