|
(該內(nèi)容由協(xié)會會員"亞信安全"提供) 10月24日,歐洲遭遇新一輪勒索病毒攻擊,俄羅斯、烏克蘭、土耳其、德國受影響,致使歐洲數(shù)國電腦系統(tǒng)遭遇勒索,并已經(jīng)開始向美國擴(kuò)散。該勒索病毒被命名為“Bad Rabbit”,亞信安全將其檢測為Ransom_BADRABBIT.SM和 Ransom_BADRABBIT.SMA。 勒索軟件將受害電腦的文件加密,讓電腦無法使用,從而要求支付贖金。“Bad Rabbit”勒索軟件要求支付0.05比特幣(合275美元)。經(jīng)過研究人員深入分析,雖然 “Bad Rabbit” 擁有部分與Petya勒索病毒相同的代碼;但是最新的這波攻擊不大可能造成Petya那種程度的全球性破壞。 “Bad Rabbit” 勒索病毒通過共享和弱密碼在內(nèi)網(wǎng)擴(kuò)散,因此對企業(yè)危害較大。我們持續(xù)關(guān)注該勒索病毒發(fā)展動態(tài),為大家提供實時解決方案。 “Bad Rabbit”勒索病毒技術(shù)分析 “Bad Rabbit”勒索病毒通過水坑攻擊傳播,攻擊者先在特定網(wǎng)站上注入包含URL的腳本文件,誘騙用戶下載虛假的Flash安裝程序“install_flash_player.exe”。嵌入的URL最終解析為:hxxp://1dnscontrol.com/flash_install,目前為止該鏈接已經(jīng)不可訪問。
【注入腳本代碼】 一旦虛假的安裝包被點擊,其會生成加密文件infpub.dat和解密文件dispci.exe。“Bad Rabbit”通過三步驟來完成其勒索流程,其對應(yīng)的三個文件名均來源于美劇《權(quán)利的游戲》。 l rhaegal.job --- 負(fù)責(zé)執(zhí)行解密文件 l drogon.job --- 負(fù)責(zé)關(guān)閉受害者電腦。然后勒索軟件加密系統(tǒng)中的文件,顯示如下勒索信息。
【勒索信息】 l viserion_23.job --- 負(fù)責(zé)重啟受害者電腦,重啟后屏幕被鎖定,顯示如下信息:
【重啟后屏幕顯示的信息】 “Bad Rabbit”可以在內(nèi)網(wǎng)中擴(kuò)散傳播,其使用Windows Management Instrumentation(WMI)和服務(wù)控制遠(yuǎn)程協(xié)議,在網(wǎng)絡(luò)中生成并執(zhí)行自身拷貝文件。在使用服務(wù)控制遠(yuǎn)程協(xié)議時,“Bad Rabbit”采用字典攻擊方法獲取登陸憑證。 經(jīng)過深入分析,我們還發(fā)現(xiàn)Bad Rabbit使用開源工具M(jìn)imikatz獲取憑證,其也會使用合法磁盤加密工具DiskCryptor加密受害者系統(tǒng)。 解決方案 l 檢查內(nèi)網(wǎng)打開共享的機器,并暫時關(guān)閉共享; l 關(guān)閉WMI服務(wù); l 更換復(fù)雜密碼; |
