當前位置: 學院首頁 > 新聞中心 > 專題 > 正文
站內搜索:
宁静威胁预警-“Bad Rabbit 坏兔子”勒索病毒事件陈诉
2019-10-15 10:19     (點擊: )

1、事件描述    

 

 

2017年10月24日,网上出现了一个被命名为“Bad Rabbit”(中文译名:坏兔子)的勒索病毒,俄罗斯、乌克兰、土耳其、德国等欧洲国均受到影响,目前已经开始向美国扩散。    

 

该勒索病毒将受害电脑的文件加密,让电脑无法使用,从而要求支付赎金,“坏兔子”勒索病毒要求支付0.05比特币(合275美元)。经过研究人员深入阐发,虽然“坏兔子”拥有部分与Petya勒索病毒相同的代码,但是最新的这波打击不大可能造成Petya那种水平的全球性破坏。但是由于“坏兔子”勒索病毒通过共享和弱密码在内网扩散,因此对企业危害较大。    

 

2、事件影響
 

l通过伪装成大众熟悉的正常步伐(AdobeFlash Player),人为点击运行,如果同局域网还无人中招,根本不会有影响;    

 

l病毒通过局域网共享协议流传(通过IPC$、ADMIN$连接),如果同局域网已有人中招,并且开启了共享服务,可能会扩散;    

 

l通过读取已经中招电脑的当前用户密码和内置的弱口令列表流传,如果同局域网已有人中招,并且大家密码相同或是在列表中的弱密码,会有流传影响;    

 

l“坏兔子”勒索病毒暂未发明通过系统漏洞流传,因此它反而可以笼罩所有的Windows系统,而不限于只存在漏洞的系统。    

 

3、事件阐发
 

“坏兔子”勒索病毒通过水坑打击流传,打击者先在特定网站上注入包罗URL的脚本文件,诱骗用户下载虚假的Flash安装步伐“install_flash_player.exe”。嵌入的URL最终解析为:hxxp://1dnscontrol.com/flash_install,目前为止该链接已经不可访问。    

 


 

一旦虚假的安装包被点击,其会生成加密文件infpub.dat息争密文件dispci.exe。“坏兔子”通过三步调来完成其勒索流程,其对应的三个文件名均来源于美剧《权利的游戏》。    

 

lrhaegal.job --- 卖力执行解密文件;    

 

ldrogon.job --- 卖力封闭受害者电脑。然后勒索病毒加密系统中的文件,显示如下勒索信息:    

 


 

lviserion_23.job --- 卖力重启受害者电脑,重启后屏幕被锁定,显示如下信息:    

 


 

“坏兔子”可以在内网中扩散流传,其使用WindowsManagementInstrumentation(WMI)和服务控制远程协议,在网络中生成并执行自身拷贝文件。在使用服务控制远程协议时,“BadRabbit”接纳字典打击要领获取登岸凭证。    

 

经过深入阐发,我们还发明“坏兔子”使用开源东西Mimikatz获取凭证,其也会使用正当磁盘加密东西DiskCryptor加密受害者系统。    

 

4、加固建議
 

網絡側應急解決方案
 

Ø在界限防火墙上调解访问控制战略,禁止外网对内网135/137/139/445端口的连接;    

 

Ø在内网焦点主干互换路由设备禁止135/137/139/445端口(会影响相关端口的服务)的连接;    

 

Ø更新IDS入侵检测系统事件库,增强对该事件的监测。    

 

終端側應急解決方案
 

Ø实时更新杀毒软件病毒库,以便能检测到该勒索病毒;    

 

Ø由于“BadRabbit”接纳字典打击要领获取登岸凭证,因此局域网开共享的电脑请使用比力庞大的密码,如果跟勒索病毒自带列表中的密码请实时修改(拜见“附录:账号字典和弱口令列表”);    

 

Ø发起安装正版可信来源的AdobeFlash Player;    

 

Ø“BadRabbit”利用了与“Petya”勒索病毒相似的组件进行流传,由于黑客在“Petya”勒索病毒及其变种中,使用了与“WannaCry”相同的打击方法,都是利用MS17-010(“永恒之蓝”)漏洞流传,因此发起信息中心进一步确认ms17-010补丁步伐的修复情况;    

 

Ø做好重要文件的备份事情(非本地备份);    

 

Ø开启系统防火墙,阻止向445端口进行连接(该操纵会影响使用445端口的服务);    

 

Ø存眷是否存在病毒在系统目录下(通常是C:\Windows目录)生成多个的文件(infpub.dat、dispci.exe、cscc.dat),请列入进程黑名单,阻止其自动运行。    

 

Ø封闭系统WMI服务器,或在手动在“控制面板-管理东西-服务”封闭该服务;    

 


 

已經熏染設備應急解決方案
 

Ø断开网络连接,组织进一步扩散;    

 

Ø已经熏染终端,凭据终端数据类型决定处理方法,如果重新安装系统则发起完全格式化硬盘、使用新操纵系统、完善操纵系统补丁、通过查抄确认无相关漏洞后再规复网络连接。    

 

5、總結
 

目前“BadRabbit 坏兔子”勒索病毒病毒样本已公然,新的变种随时都可能出现,请养成备份好重要文件的习惯。    

 

同时由于利用渗透本领流传的勒索病毒越来越多,强烈发起数据中心逐步完善内网宁静防护战略,启明星辰将连续存眷该病毒生长态势,跟踪相关病毒细节。    

 

6、附录:账号字典和弱口令列表    

“BadRabbit 坏兔子”在内网流传中通过推测以下列表的用户名来登录:    

 

Administrator、Admin、Guest、User、User1、user-1 、Test、root、buh、boss、ftp、rdp、rdpuser、rdpadmin、manager、support、work、other user、operator、backup、asus、ftpuser、ftpadmin、nas、nasuser、nasadmin、superuser、netguest、alex    

 

“BadRabbit 坏兔子”在内网流传中通过推测以下列表的弱口令来登录:    

 

Administrator、administrator、Guest、guest、User、user、Admin、adminTest、test、root、123、1234、12345、123456、1234567、12345678、123456789、1234567890、Administrator123、administrator123、Guest123、guest123、User123、user123、Admin123、admin123Test123、test123、password、111111、55555、77777、777、qwe、qwe123、qwe321、qwer、qwert、qwerty、qwerty123、zxc、zxc123、zxc321、zxcv、uiop、123321、321、love、secret、sex、 god
 

已是首條
下一條:中華人民共和國網絡宁静法
關閉窗口
工業和信息化部備案登記號:365在线体育比分05003421號    川公网安备 51150202000048号     事業單位標識
版权所有:365在线体育比分-2020欧洲杯体育直播平台-365体育网上投注   地址:四川省宜宾市翠屏区新村74号    招生咨询电话:0831-8275466、8274690、8274290
今日訪問:
總訪問量: