勒索预警：Petya改头换面，“坏兔子”粉墨登场

事件背景

距离臭名卓著的“Petya”和“WannaCry”勒索软件大规模爆发还不到半年，又一个新的勒索软件出现。这个命名为“坏兔子”（Bad Rabbit）的新型的勒索软件，感染范围包括俄罗斯和乌克兰等欧洲地区。

“Bad Rabbit“的通过“水坑攻击”的方式，通过downloader下载器，伪装成Adobe Flash的安装程序，诱使用户安装，从而感染。一旦局域网内一台主机中招，恶意软件会扫描整个网段进行感染。

TAC沙箱检测

绿盟科技威胁分析系统TAC捕捉到这款恶意样本，安全风险为高：

另外，沙箱分析样本行为，也能看到其扫描网络，连接主机的445端口，尝试进行感染：

解决建议

目前“坏兔子”主要通过水坑站点传播，并没有利用之前的“永恒之蓝”的漏洞，因此，预计传播规模要小于之前的“Petya”。尽管如此，我们也要提醒客户，提高警惕，有条件的客户，考虑部署绿盟科技沙箱产品TAC。之前的安全建议依然有效，操作系统补丁更新，升级病毒码，备份重要数据。

对于本次的“坏兔子”勒索软件：

• 注意不要随意下载和安装软件

• 关闭Windows主机135/139/445端口

• 不要运行这两个文件：c:windowsinfpub.dat 和 c:Windowscscc.dat