勒索预警:Petya/NotPetya改头换面,“坏兔子”粉墨登场
1、事件背景
距离臭名卓著的“Petya”和“WannaCry”勒索软件大规模爆发还不到半年,又一个新的勒索软件出现。这个命名为“坏兔子”(Bad Rabbit)的新型的勒索软件,感染范围包括俄罗斯和乌克兰等欧洲地区。
“Bad Rabbit“的通过“水坑攻击”的方式,通过downloader下载器,伪装成Adobe Flash的安装程序,诱使用户安装,从而感染。一旦局域网内一台主机中招,恶意软件会扫描整个网段进行感染。
2、TAC沙箱检测
绿盟科技威胁分析系统TAC捕捉到这款恶意样本,安全风险为高:
另外,沙箱分析样本行为,也能看到其扫描网络,连接主机的445端口,尝试进行感染:
3、解决建议
目前“坏兔子”主要通过水坑站点传播,并没有利用之前的“永恒之蓝”的漏洞,因此,预计传播规模要小于之前的“Petya”。尽管如此,我们也要提醒客户,提高警惕,有条件的客户,考虑部署绿盟科技沙箱产品TAC。之前的安全建议依然有效,操作系统补丁更新,备份重要数据。
对于本次的“坏兔子”勒索软件:
