最新最快的行业相关内容分享及官方通知发布

行业动态 公司新闻活动专题 中光课堂

“Bad Rabbit”勒索病毒情况通报

发布时间:2017-10-26 10:13 编辑:编辑:中光电信
尊敬的用户:
据国家网络与信息安全信息通报中心监测发现,2017年10月24日晚,俄罗斯、乌克兰等多个东欧国家遭Bad Rabbit勒索软件袭击,政府、交通、新闻等200多家机构受到不同程度影响。目前,美国已发现感染传播情况,国内尚未监测发现被攻击情况。Bad Rabbit勒索病毒具体情况通报如下: 
一:事件描述
勒索软件将受害电脑的文件加密,让电脑无法使用,从而要求支付赎金。Bad Rabbit勒索软件要求支付 0.05 比特币(合 275 美元)。由于Bad Rabbit勒索病毒通过共享和弱密码在内网扩散,因此对企业危害较大。 
二:病毒传播过程
Bad Rabbit(坏兔子)勒索病毒与5月份和6月份爆发的WannaCry和NotPetya攻击方式类似。比如,使用弱口令尝试登陆共享服务,通过内网共享和弱密码在局域网中扩散,最后加密系统文件,关机重启后提示通过支付比特币解密。但是Bad Rabbit(坏兔子)勒索病毒并没有利用之前的微软操作系统“永恒之蓝”的漏洞,而主要通过水坑站点进行传播。
据分析,Bad Rabbit(坏兔子)勒索病毒目前针对的俄罗斯和其它东欧国家,主要通过在已被黑站点展示虚假的Adobe Flash更新通知。当用户点击这些通知消息时,它就会下载一个名install_flash_player.exe的文件。一旦虚假的安装包被点击,其会生成infpub.dat和dispci.exe两个加密文件,这两个文件用于加密磁盘文件。“坏兔子”通过以上三步骤来完成其勒索流程,感染勒索界面如下图所示:
 
一旦上述步骤完成,Bad Rabbit(坏兔子)勒索病毒将利用本机口令和弱口令在局域网中进行传播,感染其他主机,对企业用户危害极大。
目前已知的被加密文件后缀名有:
.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip
加密文件后会在系统根目录下留一个Readme.txt的文件,里面就是勒索病毒提示支付赎金的信息。
 三:解决方案
1、  养成良好的安全习惯,及时对系统进行更新,修补系统漏洞,减少安全风险。 
2、不要轻易打开包含未经请求的邮件内文件,或点开其中嵌入的链接。 
3、不要轻信网站提示弹窗和下载程序。 
4、检查用户系统是否存在共享,如存在建议关闭。 
5、使用较复杂的密码(包含数字、字母、大小写及特殊字符等的其中两种且长度大于 8 位)并定期修改。 
6、及时或定时做好用户核心数据备份。
中光电信技术团队第一时间组织安全人员进行分析,对此病毒进行积极应对,新增新的安全防护手段,有效的阻止该病毒扩大,最大幅度的降低用户感染病毒状况。中光电信后续将积极为用户提供技术支持,持续跟踪并及时通报进展。


陕西中光电信高科技有限公司
2017年10月26日
业务经理 QQ/Tel:400-086-8810
24小时运维 Tel:029-86697887