勒索预警:Petya改头换面,“坏兔子”粉墨登场

百家 作者:绿盟科技 2017-10-25 10:10:20

事件背景

距离臭名卓著的“Petya”和“WannaCry”勒索软件大规模爆发还不到半年,又一个新的勒索软件出现。这个命名为“坏兔子”(Bad Rabbit)的新型的勒索软件,感染范围包括俄罗斯和乌克兰等欧洲地区。


“Bad Rabbit“的通过“水坑攻击”的方式,通过downloader下载器,伪装成Adobe Flash的安装程序,诱使用户安装,从而感染。一旦局域网内一台主机中招,恶意软件会扫描整个网段进行感染。


TAC沙箱检测

绿盟科技威胁分析系统TAC捕捉到这款恶意样本,安全风险为高:


另外,沙箱分析样本行为,也能看到其扫描网络,连接主机的445端口,尝试进行感染:

解决建议

目前“坏兔子”主要通过水坑站点传播,并没有利用之前的“永恒之蓝”的漏洞,因此,预计传播规模要小于之前的“Petya”。尽管如此,我们也要提醒客户,提高警惕,有条件的客户,考虑部署绿盟科技沙箱产品TAC。之前的安全建议依然有效,操作系统补丁更新,升级病毒码,备份重要数据。


对于本次的“坏兔子”勒索软件:


  • 注意不要随意下载和安装软件

  • 关闭Windows主机135/139/445端口

  • 不要运行这两个文件:c:windowsinfpub.dat 和 c:Windowscscc.dat



请点击屏幕右上方“…”

关注绿盟科技公众号
NSFOCUS-weixin

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接
百度热搜榜
排名 热点 搜索指数