10月24日晚,俄罗斯、乌克兰等多个东欧国家遭Bad Rabbit勒索病毒袭击,政府、交通、新闻等200多家机构受到不同程度影响。目前,美国已发现感染传播情况,国内尚未监测发现被攻击情况。该勒索软件通过虚假Flash更新链接传播,当用户访问被入侵控制的合法网站时,网页跳转到虚假的Flash更新网站,一旦用户下载并安装虚假的Flash更新包则系统被感染。目前,监测发现23个被入侵网站,1个位于日本,其他多数为俄语网站。被感染主机可通过SMB等服务端口探测并试图感染内网其他主机。
该恶意软件会要求受害人登陆“洋葱路由”下隐藏的某个服务网站,向其交付0.5个比特币的赎金来解除勒索。
此外“坏兔子”还会显示一个倒计时界面,声称不及时支付的话,其勒索金额就会水涨船高。目前暂不清楚“坏兔子”攻击的幕后主使者身份、受害者都有谁、以及该恶意软件是哪里产生和如何传播的。
另外,安全公司ESET指出,该恶意软件还会尝试感染同一本地网络下的其它计算机,比如借助早就曝光的 Windows 数据共享协议(SMB)和开源的 Mimikatz 漏洞利用工具。
鉴于该勒索病毒潜在危害较高,影响较大,10月25日,中共北京市委网信办、市公安局、市经信委等单位联合发布预警通报:
1、建议用户默认开启防火墙禁用Windows客户端139, 445端口访问,如若需要开启端口建议定期更新微软补丁。
2、警惕类似Adobe Flash下载更新链接。
3、检查内网机器设置,暂时关闭设备共享功能
4、禁用Windows系统下的管理控件WMI服务
该类勒索病毒360安全卫士在该病毒爆发之前已能拦截,建议下载并安装360安全卫士进行有效防御。校内用户请访问http://360.bupt.edu.cn下载我校已部署的360杀毒软件。
信息化技术中心
2017.10.26