安全動(dòng)態(tài)

關(guān)于Bad Rabbit勒索軟件情況的預(yù)警通報(bào)

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2017-10-27    瀏覽次數(shù):
 

信息來(lái)源:國(guó)家互聯(lián)網(wǎng)應(yīng)急中心 

        近日,一款名為“Bad Rabbit”(壞兔子)的勒索軟件在境外蔓延。CNCERT第一時(shí)間對(duì)該勒索軟件進(jìn)行分析,現(xiàn)將有關(guān)情況通報(bào)如下:

        一、基本情況

        2017年10月24日, “Bad Rabbit”(壞兔子)勒索軟件在境外蔓延,目前涉及的國(guó)家主要有俄羅斯、烏克蘭、德國(guó)、土耳其等歐洲國(guó)家,受害者包括俄羅斯的國(guó)際文傳電訊社、烏克蘭敖德薩國(guó)際機(jī)場(chǎng)、烏克蘭基輔地鐵系統(tǒng)等歐洲多國(guó)基礎(chǔ)設(shè)施。

        與之前的“Wannacry”與“Petya”不同,“Bad Rabbit”并未使用漏洞進(jìn)行傳播。攻擊者通過(guò)攻陷合法網(wǎng)站,在合法網(wǎng)站中植入惡意代碼,偽裝成Adobe Flash升級(jí)更新彈窗,誘導(dǎo)用戶主動(dòng)點(diǎn)擊下載并手動(dòng)運(yùn)行偽裝成Adobe Flash的“Bad Rabbit”勒索軟件。此勒索軟件會(huì)加密感染者電腦中的文件,并提示受害者支付0.05比特幣的贖金;此外,該勒索軟件會(huì)掃描內(nèi)網(wǎng)SMB共享,使用弱密碼和Mimikatz工具獲取登錄憑證等手段嘗試登錄和感染內(nèi)網(wǎng)其它主機(jī)。

        二、影響范圍

        目前,該勒索軟件主要在境外蔓延。根據(jù)CNCERT監(jiān)測(cè),10月24日至10月25日期間,境內(nèi)僅發(fā)現(xiàn)極少量IP存在該勒索軟件下載以及分發(fā)行為。疑似感染地區(qū)包括廣東、河南、福建與北京。截止到此通報(bào)發(fā)布日期,我國(guó)境內(nèi)尚未發(fā)現(xiàn)規(guī)模性感染。

        三、處置建議

        盡管此勒索軟件并未利用漏洞進(jìn)行大規(guī)模傳播,但不排除后續(xù)出現(xiàn)利用漏洞進(jìn)行傳播的變種的可能。針對(duì)國(guó)內(nèi)互聯(lián)網(wǎng)用戶, CNCERT的防護(hù)建議如下:

        1)檢查系統(tǒng)中是否存在以下三個(gè)文件之一,若存在則說(shuō)明已經(jīng)感染該勒索軟件,請(qǐng)立即清除:

        C:Windowsdispci.exe

        C:Windowsinfpub.dat

        C:Windowscscc.dat

        2)安裝并及時(shí)更新殺毒軟件產(chǎn)品;

        3)及時(shí)關(guān)閉計(jì)算機(jī)以及網(wǎng)絡(luò)設(shè)備上的445和139端口;

        4)及時(shí)更新系統(tǒng)安全補(bǔ)?。?

        5)關(guān)閉不必要的網(wǎng)絡(luò)共享;

        6)使用強(qiáng)度較高的密碼并定期更換,降低系統(tǒng)密碼被破解的風(fēng)險(xiǎn);

        7)不要輕信網(wǎng)站彈窗,請(qǐng)從官方網(wǎng)站或可信渠道下載軟件更新;

        8)定期在不同的存儲(chǔ)介質(zhì)上備份計(jì)算機(jī)上的重要文件。

        CNCERT后續(xù)將密切監(jiān)測(cè)和關(guān)注相關(guān)情況。請(qǐng)國(guó)內(nèi)相關(guān)單位做好信息系統(tǒng)應(yīng)用情況排查工作,如需技術(shù)支援,請(qǐng)聯(lián)系 CNCERT。電子郵箱: cncert@cert.org.cn。

 
 

上一篇:聚銘校園招聘第三站 -- 南京郵電大學(xué)

下一篇:ARM CEO:享受AI和物聯(lián)網(wǎng)的便利之前、請(qǐng)先搞定網(wǎng)絡(luò)安全