雷鋒網(wǎng)發(fā)現(xiàn),目前“壞兔子”的攻擊目標(biāo)鎖定在特定俄語(yǔ)系網(wǎng)站及相關(guān)的訪問者,主要影響了俄羅斯部分媒體組織,烏克蘭的部分業(yè)務(wù),包括基輔的公共交通系統(tǒng)和國(guó)家敖德薩機(jī)場(chǎng),此外還影響了保加利亞和土耳其。
根據(jù)“360網(wǎng)絡(luò)安全響應(yīng)中心”的最新監(jiān)測(cè),中國(guó)地區(qū)目前基本沒受影響。
如何傳播?據(jù)分析,該病毒通過(guò)偽裝Adobe Flash Player 安裝包進(jìn)行傳播。電腦感染病毒之后,其中文件將被加密,直至用戶支付贖金。
“壞兔子”主要是通過(guò)偽裝 flash 安裝程序讓用戶下載運(yùn)行和暴力枚舉SMB服務(wù)帳號(hào)密碼的形式進(jìn)行傳播,并未使用“永恒之藍(lán)”漏洞進(jìn)行傳播,感染形式上和此前的 NotPetya 勒索病毒相似,會(huì)主動(dòng)加密受害者的主引導(dǎo)記錄(MBR)。
雷鋒網(wǎng)發(fā)現(xiàn),“壞兔子”在勒索贖金上有所變化,初始贖金為0.05 比特幣(約280美元),隨時(shí)間的推移會(huì)進(jìn)一步增加贖金。
解決方案雷鋒網(wǎng)(公眾號(hào):雷鋒網(wǎng))建議,備份電腦上的重要文件到本機(jī)以外的其他機(jī)器上,檢查組織內(nèi)部的備份機(jī)制是否正常運(yùn)作。
電腦安裝防病毒安全軟件,確認(rèn)規(guī)則升級(jí)到最新。
檢查SMB共享是否使用了弱口令。
目前,360、火絨等國(guó)內(nèi)安全軟件已緊急升級(jí),用戶更新版本即可查殺。
關(guān)聯(lián)分析及溯源勒索軟件復(fù)用了部分Petya家族的代碼,可以視其與Petya家族有一定的繼承關(guān)系。
勒索軟件使用了1dnscontrol.com域名作為惡意代碼的分發(fā)站點(diǎn),此域名注冊(cè)于2016年3月22日并作了隱私保護(hù):
域名解析到IP 5.61.37.209,此IP所綁定其他域名也非常可疑,極有可能為同一攻擊團(tuán)伙所有:
京公網(wǎng)安備 11010502049343號(hào)