2017年10月24日，國外媒體報道出現(xiàn)了一種新的勒索病毒——Bad Rabbit(壞兔子)，該勒索病毒最早在俄羅斯和烏克蘭出現(xiàn)，跟之前的NotPetya勒索病毒功能上有很多相同的代碼實現(xiàn)，比如創(chuàng)建任務計劃關機重啟、通過讀取當前用戶密碼和內置的系統(tǒng)弱口令來遍歷局域網(wǎng)內電腦傳播，最后加密系統(tǒng)文件后提示通過支付比特幣解密。

一.勒索病毒行為

勒索病毒樣本主要偽裝成Adobe Flash Player安裝程序，版本為27.0.0.170，甚至還帶有數(shù)字簽名證書，文件編譯時間為2017年10月22日，運行主樣本后會在系統(tǒng)目錄下（通常是C:\Windows目錄）生成多個文件：infpub.dat、dispci.exe、cscc.dat，其中infpub.dat通過rundll32.exe運行，同時會創(chuàng)建任務計劃重啟系統(tǒng)，系統(tǒng)重啟后運行dispci.exe文件（該文件實際是DiskCryptor加密程序），主樣本釋放的文件的文件名是固定的，因此在勒索病毒運行早期如果發(fā)現(xiàn)進程異?？梢灾苯咏Y束掉。

加密文件類型：

勒索病毒會搜索電腦上以下擴展名的文件執(zhí)行加密：

復制代碼

.3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf.der.dib.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.hpp.hxx.iso.java.jfif.jpe.jpeg.jpg.js.kdbx.key.mail.mdb.msg.nrg.odc.odf.odg.odi.odm.odp.ods.odt.ora.ost.ova.ovf.p12.p7b.p7c.pdf.pem.pfx.php.pmf.png.ppt.pptx.ps1.pst.pvi.py.pyc.pyw.qcow.qcow2.rar.rb.rtf.scm.sln.sql.tar.tib.tif.tiff.vb.vbox.vbs.vcb.vdi.vfd.vhd.vhdx.vmc.vmdk.vmsd.vmtm.vmx.vsdx.vsv.work.xls.xlsx.xml.xvd.zip

加密文件后會在系統(tǒng)根目錄下留一個Readme.txt的文件，里面就是勒索病毒提示支付贖金的信息。

二.事件影響面

Bad Rabbit(壞兔子)勒索軟件通過入侵某合法新聞媒體網(wǎng)站，該媒體在烏克蘭，土耳其，保加利亞，俄羅斯均有分網(wǎng)站。在受害者訪問時會被引導安裝一個偽裝的flash安裝程序（文件名為 install_flash_player. exe），用戶一旦點擊安裝后就會被植入“壞兔子”勒索病毒。

勒索病毒通過Windows局域網(wǎng)共享協(xié)議傳播（通過IPC$、ADMIN$連接），如果同局域網(wǎng)已有人中招，并且開啟了共享服務，可能會造成內網(wǎng)擴散。

勒索病毒通過讀取已經(jīng)中招電腦的當前用戶密碼和內置的弱口令列表傳播，如果同局域網(wǎng)已有人中招，并且大家密碼相同或是在列表中的弱密碼，會有傳播影響。

勒索病毒暫未發(fā)現(xiàn)通過系統(tǒng)漏洞傳播，因此它反而可以覆蓋所有的Windows系統(tǒng)，而不限于只存在漏洞的系統(tǒng)。

三.安全處置方案

該勒索病毒并非像今年5月12日的wannacry一樣利用Windows SMB 0day漏洞傳播，但仍存在較大的安全風險，為了避免遭受影響，建議所有用戶按照以下措施排查自身業(yè)務:

常備份數(shù)據(jù)

目前病毒樣本已公開，新的變種可能會出現(xiàn)，建議開發(fā)或運維人員使用自動快照或人工備份方式對數(shù)據(jù)進行全備份，并養(yǎng)成備份好重要文件的習慣。

安裝防病毒軟件

Windows服務器上安裝必要的防病毒軟件，并確保更新殺毒軟件病毒庫，以便能檢測到該勒索病毒。

對操作系統(tǒng)和服務進行加固

對服務器操作系統(tǒng)及服務軟件進行安全加固，確保無高風險安全漏洞或不安全的配置項。

配置嚴格的網(wǎng)絡訪問控制策略

使用安全組策略或系統(tǒng)自帶防火墻功能，限制ECS向外訪問(outbound)185.149.120.3或1dnscontrol.com域名訪問，同時對ECS、SLB服務的其他端口（例如:445、139、137等端口）進行內網(wǎng)出入方向的訪問控制，防止暴露不必要的端口，為黑客提供利用條件。

禁止下載安裝非官方軟件

建議用戶到官網(wǎng)下載軟件安裝Adobe Flash Player，所有軟件下載后使用防病毒軟件進行查殺。

四.情報來源

Bad Rabbit勒索軟件分析報告:https://securelist.com/bad-rabbit-ransomware/82851/

Malwarebytes針對Bad Rabbit勒索軟件分析報告:https://blog.malwarebytes.com/threat-analysis/2017/10/badrabbit-closer-look-new-version-petyanotpetya/

http://blog.talosintelligence.com/2017/10/bad-rabbit.html#more

https://www.forbes.com/forbes/welcome/toURL=https://www.forbes.com/sites/thomasbrewster/2017/10/24/bad-rabbit-ransomware-using-nsa-exploit-in-russia/&refURL=https://t.co/zIj BLXa1BI&referrer=https://t.co/zIj BLXa1BI

https://www.virustotal.com/en/domain/1dnscontrol.com/information/

https://securingtomorrow.mcafee.com/mcafee-labs/badrabbit-ransomware-burrows-russia-ukraine/

原文鏈接