勒索预警:Petya改头换面,“坏兔子”粉墨登场
事件背景
距离臭名卓著的“Petya”和“WannaCry”勒索软件大规模爆发还不到半年,又一个新的勒索软件出现。这个命名为“坏兔子”(Bad Rabbit)的新型的勒索软件,感染范围包括俄罗斯和乌克兰等欧洲地区。
“Bad Rabbit“的通过“水坑攻击”的方式,通过downloader下载器,伪装成Adobe Flash的安装程序,诱使用户安装,从而感染。一旦局域网内一台主机中招,恶意软件会扫描整个网段进行感染。
TAC沙箱检测
绿盟科技威胁分析系统TAC捕捉到这款恶意样本,安全风险为高:
另外,沙箱分析样本行为,也能看到其扫描网络,连接主机的445端口,尝试进行感染:
解决建议
目前“坏兔子”主要通过水坑站点传播,并没有利用之前的“永恒之蓝”的漏洞,因此,预计传播规模要小于之前的“Petya”。尽管如此,我们也要提醒客户,提高警惕,有条件的客户,考虑部署绿盟科技沙箱产品TAC。之前的安全建议依然有效,操作系统补丁更新,升级病毒码,备份重要数据。
对于本次的“坏兔子”勒索软件:
注意不要随意下载和安装软件
关闭Windows主机135/139/445端口
不要运行这两个文件:c:windowsinfpub.dat 和 c:Windowscscc.dat
请点击屏幕右上方“…” NSFOCUS-weixin | |
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/