设为首页加入收藏联系我们

校卫队
  • 校卫队
  • 厚德崇信
  • 太极
  • 2016国家励志奖学金
  • 网络安全

信息中心

首页>信息中心 > 通知公告 > 通知公告

“Bad Rabbit”勒索病毒预警

发布时间:2017-10-27 08:44:25    点击数:0

事件描述

 

10月24日,欧洲遭遇新一轮勒索病毒攻击,俄罗斯、乌克兰、土耳其、德国受影响,致使欧洲数国电脑系统遭遇勒索,并已经开始向美国扩散。该勒索病毒被命名为“Bad Rabbit”

勒索软件将受害电脑的文件加密,让电脑无法使用,从而要求支付赎金。“Bad Rabbit”勒索软件要求支付0.05比特币(合275美元)。经过研究人员深入分析,虽然“Bad Rabbit”拥有部分与Petya勒索病毒相同的代码;但是最新的这波攻击不大可能造成Petya那种程度的全球性破坏。

 

“Bad Rabbit”勒索病毒通过共享和弱密码在内网扩散,因此对企业危害较大。

 

“Bad Rabbit”勒索病毒技术分析

 

“Bad Rabbit”勒索病毒通过水坑攻击传播,攻击者先在特定网站上注入包含URL的脚本文件,诱骗用户下载虚假的Flash安装程序“install_flash_player.exe”。嵌入的URL最终解析为:hxxp://1dnscontrol.com/flash_install,目前为止该链接已经不可访问。

\

【注入脚本代码】

 

一旦虚假的安装包被点击,其会生成加密文件infpub.dat和解密文件dispci.exe。“Bad Rabbit”通过三步骤来完成其勒索流程,其对应的三个文件名均来源于美剧《权利的游戏》。

 

rhaegal.job ---负责执行解密文件

drogon.job ---负责关闭受害者电脑。然后勒索软件加密系统中的文件,显示如下勒索信息。   

\

【勒索信息】

 

viserion_23.job ---负责重启受害者电脑,重启后屏幕被锁定,显示如下信息:  

\

【重启后屏幕显示的信息】

 

“Bad Rabbit”可以在内网中扩散传播,其使用Windows Management Instrumentation(WMI)和服务控制远程协议,在网络中生成并执行自身拷贝文件。在使用服务控制远程协议时,“Bad Rabbit”采用字典攻击方法获取登陆凭证。

 

经过深入分析,我们还发现Bad Rabbit使用开源工具Mimikatz获取凭证,其也会使用合法磁盘加密工具DiskCryptor加密受害者系统。

 

解决方案

 

1.检查内网打开共享的机器,并暂时关闭共享;

2.关闭WMI服务;

3.更换复杂密码;


建议用户采取如下防护措施: 

1.及时更新系统补丁程序,或者部署虚拟补丁;

2.启用防火墙以及入侵检测和预防系统;

3.主动监控和验证进出网络的流量;

4.主动预防勒索软件可能的入侵途径,如邮件,网站;

5.使用数据分类和网络分段来减少数据暴露和损坏;

6.禁用SMB端口;

7.打全补丁程序,特别是ms17-010补丁程序;  


总院首页 |manbetx万博体育官网 |万博体育app |万博官网登陆 |万博manbetx官网 |manbetx客户端 |人才招聘 |万博manbetx登陆 |新万博manbetx体育
版权所有:万博亚洲-manbetx万博体育官网 校办电话:0371-64966629 传真:0371-64966607
通讯地址:郑州市中原西路桃贾路19号万博亚洲-manbetx万博体育官网
豫ICP备13001367号-1