摘要:坏兔子(Bad Rabbit)”的新型勒索病毒。这不是一只简单的兔子,它是只坏兔子。
10月 24 日,一种名叫“坏兔子(Bad Rabbit)”的新型勒索病毒从俄罗斯和乌克兰最先开始发动攻击,并且在东欧国家蔓延。目前涉及的国家主要有俄罗斯、乌克兰、保加利亚、土耳其和德国,被入侵的网站包括俄罗斯的国际文传电讯社、乌克兰基辅的地铁系统、乌克兰敖德萨的国际机场以及乌克兰的基础设施部等多家大型机构。截至目前尚未发现国内批量性的感染。
攻击方式
Bad Rabbit(坏兔子)勒索病毒主要通过水坑站点进行传播。
什么是“水坑”站点?就是被水坑攻击了的网站。
什么是“水坑”攻击?“水坑式攻击”,是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击。这种攻击行为类似《动物世界》纪录片中的一种情节:捕食者埋伏在水里或者水坑周围,等其他动物前来喝水时发起攻击猎取食物。水坑攻击已经成为APT攻击的一种常用手段。
感染三部曲:
据分析,Bad Rabbit(坏兔子)的感染三部曲是:
1、 通过在已被黑站点展示虚假的Adobe Flash更新通知。
2、 当用户点击这些通知消息时,它就会下载一个名为install_flash_player.exe的文件。
3、 一旦虚假的安装包被点击,其会生成infpub.dat和dispci.exe两个加密文件,这两个文件用于加密磁盘文件。
“坏兔子”通过以上三步骤来完成其勒索流程。一旦上述步骤完成,Bad Rabbit还会扫描内网SMB共享,使用弱密码和Mimikatz工具获取登录凭证等手段尝试登录和感染内网其他主机,在局域网中进行传播,对企业用户危害极大。
勒索界面
感染此恶意软件的计算机会跳转到勒索页面,提示受害者需要支付0.05比特币的赎金(合275美元)解锁他们的数据。勒索信息提供支付赎金的流程,限时40小时,否则勒索赎金将会增加。不过支付赎金之后是否可以解密电脑文件尚不清楚。
受害者电脑会显示如下的告知支付赎金的界面:
与之前Petya/NotPetya勒索软件比较:
BadRabbit与之前爆发的Petya/NotPetya勒索软件有多个地方行为相同:包括使用开源的加密软件DiskCryptor对文档用RSA-2048的方式加密,和扫描内网SMB共享然后使用Mimikatz工具获取登录凭证尝试登录和感染内网其他主机。与Petya/NotPetya勒索软件不同的是从已知样本尚未发现通过永恒之蓝(EternalBlue)漏洞进行攻击传播,而是通过水坑攻击方式。
处置建议
“坏兔子”勒索病毒攻击事件有进一步扩散的趋势, 为避免受到威胁,建议加强互联网终端防护措施, 安装杀毒软件、升级病毒库,做好网络安全防护工作。
1、电脑安装防病毒安全软件,确认规则升级到最新。
2、关闭WMI服务来避免这个恶意软件通过网络散播。((WMI,中文名字叫Windows管理规范。WMI不仅可以获取想要的计算机数据,而且还可以用于远程控制。如何关闭WMI,大家可以百度一下,在windows的服务中关闭这个服务即可)
3、关闭Windows主机135/139/445等共享服务端口,禁用方法参考:
https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html
4、备份电脑上的重要文件到本机以外的其他机器上,检查组织内部的备份机制是否正常运作。
网警提示
1、不要轻信网站提示弹窗和下载程序,软件更新通过安全可信渠道进行下载更新。
2、不要轻易打开包含未经请求的邮件的文件,或点开其中嵌入的链接。
3、使用高强度密码并定期更换,降低受到恶意软件感染风险。
比特币被黑客袭击的历史事件:
1
2011年6月,赛门铁克公司发出警告,僵尸网络正在参与到比特币"挖矿"中。 这会占用受害者的计算机运算能力、消耗额外的电力并导致主机温度升高。当月晚些时候,澳大利亚广播公司发现一名雇员用公司的服务器进行挖矿。一些恶意软件也大量利用显卡的并行计算能力。
在2011年8月,比特币挖矿的僵尸网络被发现了, 被木马感染的Mac OS X也被发现进行比特币挖矿
2
2011年6月19日,Mt.Gox(Magic: The Gathering Online Exchange的缩写)比特币交易中心的安全漏洞导致1比特币价格一度跌至1美分(虽然其它交易没有受到影响)。原因是一个黑客从感染木马的电脑上盗用了该用户MtGox的证书,从而把比特币转到自己的帐号上并抛售,产生了大量该价格的“ask”请求。几分钟后MtGox 关闭并取消了黑客事件中的不正常交易,使比特币价格反弹回到了15美元。 最终比特币汇率回到了崩溃前的情况。相当于超过8,750,000美元的帐户受到影响。
3
2011年7月,世界第三大比特币交易中心Bitomat的运营商宣布:记录着17,000比特币(约合22万美元)的wallet.dat文件的访问权限丢失。同时宣布决定出售服务以弥补用户损失。
4
2011年8月,作为常用比特币交易的处理中心之一的MyBitcoin宣布遭到黑客攻击,并导致关机。涉及客户存款的49%,超过78000比特币(当时约相当于80万美元)下落不明。
5
2012年8月上旬,Bitcoinica在旧金山法院被起诉要求赔偿约46万美元。2012年,Bitcoinica两度遭到黑客攻击,被指控忽略客户资金的安全性以及伪造提款申请。
6
2012年9月,Bitfloor交易中心也被黑客入侵,24,000比特币(约相当于25万美元)被盗。Bitfloor因此暂停运营。同月,Bitfloor恢复运营,它的创始人说,他已经就盗窃事件上报FBI,而且他正计划赔偿受害者,但赔偿的时间表尚不清楚。
7
2011年6月,有黑客将25000比特币转进自己户头,其相当于50万美金。整个交易无法被追踪,虽然比特币的拥有者在网上公布了这起失窃,但却没用,这个黑客也成了比特币的第一个偷窃者。
8
2012年,由于网站托管供应商Linode的服务器超级管理密码泄露,价值228,845美元的46703比特币失窃。超过4.3万的失窃比特币属于一家比特币交易平台Bitcoinica,另外3094比特币为捷克程序员Marek Palatinus所有,比特币首席程序员GavinAndersen也失去了他的5比特币。
比特吴,吴解区块链。带给你最前沿的区块链资讯,最八卦的圈内轶事和全球化的币币内参。
想了解更多关于币圈和区块链的讯息?
请微博手动搜索关注:比特吴
或者微信公众号:吴解区块链
比特币脑残粉,区块链研究员,韭菜帮帮主
我能帮你的就到这里了。