最近這幾天, 又一種勒索病毒席捲了我國, 電腦網路安全的問題是讓人堪憂的, 根本原因還是由於互聯網犯罪成本低, 隱蔽性強, 獲利輕鬆, 所以一個又一個的木馬病毒接憧而至, 那麼, 下面就帶大家瞭解一下這個病毒和上次的比特幣病毒有哪些不同呢, 又有什麼解決方案能應對呢?
10月24日, 歐洲地區爆發新型勒索病毒Bad Rabbit(壞兔子), 感染範圍包含俄羅斯、烏克蘭、德國等多個東歐國家。 Bad Rabbit(壞兔子)通過“水坑網站”進行傳播, 主要通過偽裝成Adobe Flash的安裝程式, 誘使使用者安裝, 從而感染使用者主機。
據瞭解, Bad Rabbit(壞兔子)勒索病毒與5月份和6月份爆發的WannaCry和NotPetya攻擊方式類似。 比如, 使用弱口令嘗試登陸共用服務, 通過內網共用和弱密碼在局域網中擴散, 最後加密系統檔, 關機重啟後提示通過支付比特幣解密。
據分析, Bad Rabbit(壞兔子)勒索病毒目前針對的俄羅斯和其它東歐國家, 主要通過在已被黑網站展示虛假的Adobe Flash更新通知。 當使用者點擊這些通知消息時, 它就會下載一個名為install_flash_player.exe的文件。 一旦虛假的安裝包被點擊, 其會生成infpub.dat和dispci.exe兩個加密檔, 這兩個檔用於加密磁片檔。 “壞兔子”通過以上三步驟來完成其勒索流程, 感染勒索介面如下圖所示:
一旦上述步驟完成, Bad Rabbit(壞兔子)勒索病毒將利用本機口令和弱口令在局域網中進行傳播, 感染其他主機, 對企業使用者危害極大。
目前已知的被加密檔尾碼名有:
.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip
加密檔後會在系統根目錄下留一個Readme.txt的檔, 裡面就是勒索病毒提示支付贖金的資訊。
解決方案
1、關閉WMI服務, 避免惡意軟體通過網路傳播;
2、關閉Windows主機135/139/445等共用服務埠;
3、局域網共用PC使用複雜密碼;
4、及時更新殺毒軟體病毒庫, 以便能檢測到該勒索病毒;
5、如果非常不幸檔被勒索病毒襲擊了, 重要的文件被加密了, 切記, 不可付款!不可付款!不可付款, 千萬不能助長違法犯罪的囂張氣焰, 立即使用強力資料恢復軟體掃描恢復就可以了!
目前該病毒樣本已公開,且在國內並無大規模傳播,深信服千里目安全實驗室將持續跟蹤此病毒及其變種,保障使用者網路安全。
目前該病毒樣本已公開,且在國內並無大規模傳播,深信服千里目安全實驗室將持續跟蹤此病毒及其變種,保障使用者網路安全。