病毒简介
近日,东软网络安全实验室检测到一款名为“Bad Rabbit”的新勒索病毒互联网上开始传播,目前在东欧的各个国家和地区最为严重.该勒索病毒目前常见命名为Trojan.BadRabbit, Ransom/W32.BadRabbit.441899, Trojan-Ransom.Win32.BadRabbit.a,Trojan.Ransom.BadRabbit等等。
病毒分析
样本md5:fbbdc39af1139aebba4da004475e8839
该样本伪装flash安装包诱骗用户安装:
.png)
用户安装之后病毒会释放一个用于加密的文件infpub.dat,之后创建进程rundll32.exe,用于在系统创建计划任务,定时关机,并在释放后续文件:
.png)
具体操作见下图:
.png)
定时重启后,病毒修改系统引导和mbr,导致启动第一时间即出现以下界面,此时已经中招:
.png)
研究表明,坏兔子勒索病毒可以在内网中扩散传播,其使用WMI Windows 管理技术,在网络中生成并执行自身拷贝文件。在使用服务控制远程协议时,其通过破解口令工具和弱口令攻击来获取局域网内其他计算机的登陆凭证以达到在局域传播的目的。
病毒防护建议
1.关闭wmi。
2.不要下载并运行来源不明的软件,尤其要注意adobeflash的安装程序。
3.及时更新杀毒软件以及操作系统。
4.关闭windows系统135/139/445端口。
东软网络安全 微信号:Neusoft_NetEye
