壞兔子作怪 勒索軟件Bad Rabbit強襲歐洲

卡巴斯基實驗實室在 10 月 24 日偵深到一款名為 Bad Rabbit 的加密勒索軟件,正在俄羅斯地區大規模爆發,其次是烏克蘭、土耳其和德國等國家,這次攻擊同時針對企業和一般用戶,是今年內繼 WannaCry 和ExPetr (或稱 NotPetya) 之後,第三輪大規模爆發的加密勒索軟件攻擊。

Bad Rabbit 的傳播
Bad Rabbit 暫時被認定為全新的加密勒索軟件,未發現到相關的「家族」族譜。加密勒索軟件利用合法的新聞或媒體網站上的漏洞,放入惡意代碼,驅使瀏覽的用戶自動下載惡意程式的執行檔。不過這次並沒有利用自動執行的安全漏洞,而是偽裝成為 Adobe Flash 的安裝檔案 (install_flash_player.exe),引誘用戶主動執行惡意程式,當程式把用戶的檔案惡意加密之後,便會出現勒索語句,要求索取 0.05 比特幣,約 280 美元贖款。

惡意行為像 ExPetr 暫時無法解密
根據研究人員的觀察,Bad Rabbit 的主要目標仍然是企業的網絡,惡意行為與 ExPetr 相似。現時未知道受害者繳交贖金能否解密,也暫時未有免費解密的方法。

卡巴斯基實驗室建議用戶:

– 確保已經啟動 System Watcher 和 Kaspersky Security Network (KSN) 服務
– 立即更新病毒資料庫
– KESB 用戶可以在 Application Startup Control 設定和啟動 Default Deny 模式,強化主動防禦 Bad Rabbit 和其他攻擊。

卡巴斯基實驗室的用戶及其他用戶也可以:

– 封鎖執行 c:\windows\infpub.dat 和 c:\windows\csss.dat 的檔案
– 關閉 WMI 服務避免惡意程式透過公司內聯網傳播

最後提醒大家,應該定期備份資料,並且拒絕支付贖款,避免助長犯罪行為。

更多詳細資料,請瀏覽 Securelist