Bad Rabbit會以感染的設備為跳板,攻擊區域網路內的其他電腦。只要你的電腦開啟了共享服務,且密碼設定強度不高,BadRabbit就會通過破解弱密碼的方式實現爆破登錄。為了增強入侵成功率,BadRabbit利用了密碼抓取器mimikatz,以實現更大範圍的攻擊。
基本介紹
- 中文名:壞兔子
- 外文名:Bad Rabbit
- 類型:網際網路病毒
- 勒索方式:比特幣
病毒介紹,專家意見,傳播途徑,防禦措施,解決方案,檔案後綴名,
病毒介紹
新型勒索病毒“Bad Rabbit”在歐洲部分地區爆發,俄羅斯、烏克蘭、土耳其、德國受到影響。據國區域網路絡安全企業介紹,該病毒偽裝成Adobe flash player欺騙用戶安裝,感染後會在區域網路內擴散。該病毒在國內並無活躍跡象。
專家意見
騰訊電腦管家團隊表示,對於新型勒索病毒,大家無需驚慌,電腦管家等安全軟體已可攔截該病毒。同時,提示企業和個人檢查區域網路打開共享的機器,進行暫時關閉;並更換複雜的密碼;下載軟體通過安全軟體或軟體官網下載。
360安全專家也表示,國內用戶暫無需過分擔心,該病毒在國內並無活躍跡象,大家只要開啟安全軟體即可有效防禦。但蠢蠢欲動的勒索病毒仍隨時伺機發動攻擊,用戶也需提高警惕,如關閉共享服務、提升密碼強度等。
傳播途徑
BadRabbit勒索病毒通過一些網站進行掛馬傳播,當網路用戶訪問這些被掛馬的網站,瀏覽器就會彈出偽裝的Adobe flash player升級的對話框,一旦用戶點擊了"安裝"按鈕,就會自動下載勒索病毒。
BadRabbit病毒
BadRabbit病毒勒索病毒運行後會兩次重啟電腦,分別進行加密文檔和鎖定整個磁碟的操作,中招者無法進入系統,只能看到滿屏的勒索提示。BadRabbit的贖金要價與此前的勒索病毒相比並不算高,在40小時之內的解鎖價格為0.05比特幣(約合人民幣1700元),用戶需要使用特定的瀏覽器訪問一個暗網連結才能獲得解鎖用的密鑰。
防禦措施
一是警惕類似AdobeFlash下載更新連結;
二是及時關閉TCP 137、139、445連線埠;
三是檢查區域網路機器設定,暫時關閉設備共享功能;
同時,提示企業和個人更換複雜的密碼,下載軟體通過安全軟體或軟體官網下載
從上面我們可以看出,要徹底杜絕BadRabbit病毒,一是警惕下載軟體,二是解決共享設備之間的擴散感染。共享設備能否經得住考驗,成為重中之重。關閉共享設備其實是因噎廢食之舉,共享設備能夠經受住考驗,杜絕病毒才是從根本上解決問題。默認關閉455等容易被入侵的連線埠,也與病毒防禦措施完美吻合。
解決方案
1、關閉WMI服務,避免惡意軟體通過網路傳播;
2、關閉Windows主機135/139/445等共享服務連線埠;
3、區域網路共享PC使用複雜密碼;
4、及時更新防毒軟體病毒庫,以便能檢測到該勒索病毒
目前該病毒樣本已公開,且在國內並無大規模傳播
檔案後綴名
目前已知的被加密檔案後綴名有
.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip
加密檔案後會在系統根目錄下留一個Readme.txt的檔案,裡面就是勒索病毒提示支付贖金的信息。
