新型勒索病毒“坏兔子”侵袭欧洲 已有软件可全面查杀

简介:

近两年,每到万圣节前夕,黑客总要出来搞点事情!

新型勒索病毒“坏兔子”侵袭欧洲   已有软件可全面查杀

去年10月底,美国发生了大断网,而今年10月底,新型勒索病毒“Ransom/BadRabbit”(坏兔子)正侵袭欧洲多个国家。

目标是谁?

雷锋网发现,目前“坏兔子”的攻击目标锁定在特定俄语系网站及相关的访问者,主要影响了俄罗斯部分媒体组织,乌克兰的部分业务,包括基辅的公共交通系统和国家敖德萨机场,此外还影响了保加利亚和土耳其。

根据“360网络安全响应中心”的最新监测,中国地区目前基本没受影响。

如何传播?

据分析,该病毒通过伪装Adobe Flash Player 安装包进行传播。电脑感染病毒之后,其中文件将被加密,直至用户支付赎金。

“坏兔子”主要是通过伪装 flash 安装程序让用户下载运行和暴力枚举SMB服务帐号密码的形式进行传播,并未使用“永恒之蓝”漏洞进行传播,感染形式上和此前的 NotPetya 勒索病毒相似,会主动加密受害者的主引导记录(MBR)。

雷锋网(公众号:雷锋网)发现,“坏兔子”在勒索赎金上有所变化,初始赎金为0.05 比特币(约280美元),随时间的推移会进一步增加赎金。

解决方案

雷锋网建议,备份电脑上的重要文件到本机以外的其他机器上,检查组织内部的备份机制是否正常运作。

电脑安装防病毒安全软件,确认规则升级到最新。

检查SMB共享是否使用了弱口令。

目前,360、火绒等国内安全软件已紧急升级,用户更新版本即可查杀。

关联分析及溯源

勒索软件复用了部分Petya家族的代码,可以视其与Petya家族有一定的继承关系。

勒索软件使用了1dnscontrol.com域名作为恶意代码的分发站点,此域名注册于2016年3月22日并作了隐私保护:

新型勒索病毒“坏兔子”侵袭欧洲   已有软件可全面查杀

域名解析到IP 5.61.37.209,此IP所绑定其他域名也非常可疑,极有可能为同一攻击团伙所有:

新型勒索病毒“坏兔子”侵袭欧洲   已有软件可全面查杀




本文作者:郭佳
本文转自雷锋网禁止二次转载, 原文链接
目录
相关文章
|
监控 安全 程序员
勒索病毒不算啥,这种计算机病毒一直在受国家监控!
计算机病毒的历史可以划分为三个时代:DOS时代、PC时代和互联网时代。
715 0
勒索病毒不算啥,这种计算机病毒一直在受国家监控!
|
安全
法国海军计算机遭病毒入侵 战机受影响停飞两天
据香港《文汇报》报道,法国海军内部计算机系统上月受病毒入侵,一度不能启动,海军战斗机受影响停飞两天。 微软在去年10月发出警报,称一种名为Conficker的计算机病毒会透过视窗系统传播并发动攻击。
847 0
|
安全 Windows 域名解析
“双枪”狙击:首例连环感染MBR和VBR的顽固木马分析
本文讲的是“双枪”狙击:首例连环感染MBR和VBR的顽固木马分析,顽固性木马病毒有感染MBR(磁盘主引导记录)的,有感染VBR(卷引导记录)的,还有用驱动对抗安全软件的,最近则出现了一种连环感染MBR和VBR的新型木马,我们将其命名为“双枪”木马。
2110 0