事件描述
近日,名为“坏兔子”(the BadRabBIt)的勒索病毒正在东欧和俄罗斯地区传播。据悉,目前俄罗斯部分媒体组织,乌克兰的部分业务均受该病毒影响,包括基辅的公共交通系统和国家敖德萨机场。
据报道,这种勒索病毒还蔓延到了德国、土耳其、保加利亚、日本等国。截至周二晚间,该勒索软件已开始向美国传播。同样在周二,美国国土安全部计算机紧急事件应变小组发布警告称,已收到“多个感染报告”。
“坏兔子”主要是通过伪装flash安装程序让用户下载运行和暴力枚举SMB服务帐号密码的形式进行传播,并未使用“永恒之蓝”漏洞进行传播,感染形式上和此前的notPetya勒索病毒相似,会主动加密受害者的主引导记录(MBR)。“坏兔子”在勒索赎金上有所变化,初始赎金为0.05 比特币(约280美元),随时间的推移会进一步增加赎金。
坏兔子勒索病毒
BadRabBIt勒索病毒通过一些俄语系的新闻网站进行挂马传播,当中招者访问这些被挂马的网站,浏览器就会弹出伪装的adobe flash playeR升级的对话框,一旦用户点击了“安装”按钮,就会自动下载勒索病毒,用户需要使用特定的浏览器访问一个暗网链接才能获得解锁用的密钥。
值得注意的是,与此前席卷多国的WannacRy、Petya勒索病毒类似,BadRabBIt也会以感染的设备为跳板,攻击局域网内的其他电脑,形成“一台中招,一片遭殃”的情况。只要你的电脑开启了共享服务,且密码设置强度不高,那么BadRabBIt就会通过破解弱密码的方式实现爆破登录。
不过,360安全专家表示,用户无需过分担心,目前该病毒在国内并无活跃迹象,而且360安全卫士在该病毒爆发之前已能拦截,大家只要开启360安全卫士即可有效防御。
事件影响面
“坏兔子”事件属于勒索病毒行为,主要通过入侵某合法新闻媒体网站后传播,该媒体在乌克兰,土耳其,保加利亚,俄罗斯均有分网站。在受害者访问时会被引导安装一个伪装的flash安装程序(文件名为 install_flash_playeR. exe),用户一旦点击安装后就会被植入“坏兔子”勒索病毒。
“坏兔子”样本主要通过提取主机nTLM认证信息和硬编码部分用户名密码暴力破解nTLM登录凭据的方式来进一步感染可以触及的主机。
综合判定“坏兔子”勒索病毒通过“水坑”方式进行较大规模传播,且产生的危害严重,属于较大网络安全事件。
整体行为
“坏兔子”勒索病毒并没有利用任何漏洞, 需要受害者手动启动下载名为 install_flash_playeR.exe的可行性文件,该文件需要提升的权限才能运行, Windows Uac会提示这个动作,如果受害者还是同意了,病毒就会按照预期运行。
防范措施
1、建议用户默认开启防火墙禁用Windows客户端139, 445端口访问,如若需要开启端口建议定期更新微软补丁。
2、该类勒索病毒360安全卫士在该病毒爆发之前已能拦截,建议下载并安装360安全卫士进行有效防御。
第五届中国互联网安全大会(ISc2017)上360集团创始人兼cEO周鸿祎发表演讲:《网络安全进入大安全时代》WannacRy勒索病毒攻击事件标志大安全时代的到来!老周说:“不管我们是否做好准备,是否愿意接受,大安全时代都已经来了。对网络安全行业和从业者来说,带来了更多的责任、压力,我们要对全人类的安全负责,对世界安全负责。”
“不管我们是否做好准备,是否愿意接受,大安全时代都已经来了。对网络安全行业和从业者来说,带来了更多的责任、压力,我们要对全人类的安全负责,对世界安全负责。”
——360集团创始人兼cEO周鸿祎