亚信安全火力全开猎捕“坏兔子”,全歼详解

[摘要]10月24日,欧洲遭遇新一轮勒索病毒攻击,俄罗斯、乌克兰、土耳其、德国等国均受到影响,目前已经开始向美国扩散。该勒索病毒被命名为“Bad Rabbit”(中文译名:坏兔子),亚信安全将其检测为Ransom_BADRABBIT SM和Ransom_BADRABBIT SMA。

10月24日,欧洲遭遇新一轮勒索病毒攻击,俄罗斯、乌克兰、土耳其、德国等国均受到影响,目前已经开始向美国扩散。该勒索病毒被命名为“Bad Rabbit”(中文译名:坏兔子),亚信安全将其检测为Ransom_BADRABBIT.SM和Ransom_BADRABBIT.SMA。

该勒索软件将受害电脑的文件加密,让电脑无法使用,从而要求支付赎金。“坏兔子”勒索软件要求支付0.05比特币(合275美元)。经过研究人员深入分析,虽然 “坏兔子” 拥有部分与Petya勒索病毒相同的代码,但是最新的这波攻击不大可能造成Petya那种程度的全球性破坏。由于“坏兔子” 勒索病毒通过共享和弱密码在内网扩散,因此对企业危害较大。

亚信安全技术详解:“坏兔子”勒索病毒攻击

“坏兔子”勒索病毒通过水坑攻击传播,攻击者先在特定网站上注入包含URL的脚本文件,诱骗用户下载虚假的Flash安装程序“install_flash_player.exe”。嵌入的URL最终解析为:hxxp://1dnscontrol.com/flash_install,目前为止该链接已经不可访问。

 
【注入脚本代码】

一旦虚假的安装包被点击,其会生成加密文件infpub.dat和解密文件dispci.exe。“坏兔子”通过三步骤来完成其勒索流程,其对应的三个文件名均来源于美剧《权利的游戏》。

   drogon.job --- 负责关闭受害者电脑。然后勒索软件加密系统中的文件,显示如下勒索信息。

 
【勒索信息】

   及时更新系统补丁程序,或者部署虚拟补丁;

   主动监控和验证进出网络的流量;

   使用数据分类和网络分段来减少数据暴露和损坏;

   打全补丁程序,特别是ms17-010补丁程序。

针对Petya勒索病毒解决方案

亚信安全病毒码版本(13.500.60),云病毒码版本(13.500.71)已经包含此病毒检测,2017年6月28日已经发布,请用户及时升级病毒码版本。

针对”永恒之蓝”漏洞解决方案

亚信安全DeepSecurity和TDA 已经于5月2号发布规则能够抵御该勒索病毒在内网的传播:

   Deep Security:1008306- Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)

   1008285- Microsoft Word Remote Code Execution Vulnerability (CVE-2017-0199)

   1008297- IdentifiedSuspicious RTF File With Obfuscated Powershell Execution (CVE-2017-0199)

  <span -converted-space"=""> TDA  Rule 18 : DNS response of a queried malwareCommand and Control domain

亚信安全WRS已经可以拦截上述恶意文档相关C&C服务器及恶意链接。




免责声明:

本站系本网编辑转载,会尽可能注明出处,但不排除无法注明来源的情况,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本网联系, 来信: liujun@soft6.com 我们将在收到邮件后第一时间删除内容!

[声明]本站文章版权归原作者所有,内容为作者个人观点,不代表本网站的观点和对其真实性负责,本站拥有对此声明的最终解释权。