美国政府就“坏兔子”(BADRABBIT)网络攻击发布预警,敦促公众不要支付勒索赎金,路透社报道。

1509096835485.png

1.勒索病毒基本信息

2017年10月24日,网上出现了一个新的勒索病毒Bad Rabbit(坏兔子),最早在俄罗斯和乌克兰出现,跟之前的NotPetya勒索病毒功能上有很多相同的代码实现,比如创建任务计划关机重启、通过读取当前用户密码和内置的系统弱口令来遍历局域网内电脑传播,最后加密系统文件后提示通过支付比特币解密。

网上已有相关分析记录: https://securelist.com/bad-rabbit-ransomware/82851/

2.勒索病毒样本行为

勒索病毒样本主要伪装成Adobe Flash Player安装程序,版本为27.0.0.170,甚至还带有数字签名证书,文件编译时间是2017年10月22日,运行主样本后会在系统目录下(通常是C:\Windows目录)生成多个文件:infpub.dat、dispci.exe、cscc.dat,其中infpub.dat通过rundll32.exe运行,同时会创建任务计划重启系统,系统重启后运行dispci.exe文件(该文件实际是DiskCryptor加密程序),这几个文件名是固定的,因此在早期如果发现进程异常可以直接结束掉。

Process Explorer是一个查看Windows系统进程的工具,推荐使用。

下载地址: https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer

3.勒索病毒加密行为

勒索病毒会搜索电脑上以下扩展名的文件执行加密: .3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf.der.dib.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.hpp.hxx.iso.java.jfif.jpe.jpeg.jpg.js.kdbx.key.mail.mdb.msg.nrg.odc.odf.odg.odi.odm.odp.ods.odt.ora.ost.ova.ovf.p12.p7b.p7c.pdf.pem.pfx.php.pmf.png.ppt.pptx.ps1.pst.pvi.py.pyc.pyw.qcow.qcow2.rar.rb.rtf.scm.sln.sql.tar.tib.tif.tiff.vb.vbox.vbs.vcb.vdi.vfd.vhd.vhdx.vmc.vmdk.vmsd.vmtm.vmx.vsdx.vsv.work.xls.xlsx.xml.xvd.zip

勒索病毒加密文件后不更改文件扩展名,因此过程更加隐蔽。

在局域网传播中通过猜测以下列表的用户名来登录: Administrator、Admin、Guest、User、User1、user-1 、Test、root、buh、boss、ftp、rdp、rdpuser、rdpadmin、manager、support、work、other user、operator、backup、asus、ftpuser、ftpadmin、nas、nasuser、nasadmin、superuser、netguest、alex

在局域网传播中通过猜测以下列表的弱口令来登录: Administrator、administrator、Guest、guest、User、user、Admin、adminTest、test、root、123、1234、12345、123456、1234567、12345678、123456789、1234567890、Administrator123、administrator123、Guest123、guest123、User123、user123、Admin123、admin123Test123、test123、password、111111、55555、77777、777、qwe、qwe123、qwe321、qwer、qwert、qwerty、qwerty123、zxc、zxc123、zxc321、zxcv、uiop、123321、321、love、secret、sex、 god

加密文件后会在系统根目录下留一个Readme.txt的文件,里面就是勒索病毒提示支付赎金的信息。

4.影响范围

勒索病毒主要通过伪装成大众熟悉的正常程序(Adobe Flash Player),人为点击运行,如果同局域网还无人中招,基本不会有影响。

勒索病毒通过局域网共享协议传播(通过IPC$、ADMIN$连接),如果同局域网已有人中招,并且开启了共享服务,可能会扩散。

勒索病毒通过读取已经中招电脑的当前用户密码和内置的弱口令列表传播,如果同局域网已有人中招,并且大家密码相同或是在列表中的弱密码,会有传播影响。

勒索病毒暂未发现通过系统漏洞传播,因此它反而可以覆盖所有的Windows系统,而不限于只存在漏洞的系统。

5.缓解措施(安全应急建议)

及时更新杀毒软件病毒库,以便能检测到该勒索病毒;
局域网开共享的电脑请使用比较复杂的密码(如果跟勒索病毒自带列表中的密码请及时修改)

高危:目前病毒样本已公开,新的变种随时都可能出现,请养成备份好重要文件的习惯。

安全应急建议:利用渗透技巧传播的勒索病毒越来越多,强烈建议完善局域网安全防护策略(比如,安恒APT设备可以直接检测到该勒索病毒)和继续关注安全威胁动态。此外,建议安装正版可信来源的Adobe Flash Player。