網警提醒：新型勒索病毒“壞兔子”來襲！趕緊採取這些措施

10月 24 日，一種名叫“壞兔子（Bad Rabbit）”的新型勒索病毒從俄羅斯和烏克蘭最先開始發動攻擊，

並且在東歐國家蔓延。目前涉及的國家主要有俄羅斯、烏克蘭、保加利亞、土耳其和德國，被入侵的網站包括俄羅斯的國際文傳電訊社、烏克蘭基輔的地鐵系統、烏克蘭奧德薩的國際機場以及烏克蘭的基礎設施部等多家大型機構。截至目前，尚未發現國內批量性的感染，但相關防範工作需提前做好！

攻擊方式

Bad Rabbit（壞兔子）勒索病毒主要通過水坑網站進行傳播。

什麼是“水坑”網站？就是被水坑攻擊了的網站。

什麼是“水坑”攻擊？“水坑式攻擊”，是指駭客通過分析被攻擊者的網路活動規律，尋找被攻擊者經常訪問的網站的弱點，先攻下該網站並植入攻擊代碼，等待被攻擊者來訪時實施攻擊。這種攻擊行為類似《動物世界》紀錄片中的一種情節：捕食者埋伏在水裡或者水坑周圍，

等其他動物前來喝水時發起攻擊獵取食物。水坑攻擊已經成為APT攻擊的一種常用手段。

據分析，Bad Rabbit（壞兔子）的感染三部曲是：

1、通過在已被黑網站展示虛假的Adobe Flash更新通知。

2、當使用者點擊這些通知消息時，它就會下載一個名為install_flash_player.exe的文件。

3、一旦虛假的安裝包被點擊，其會生成infpub.dat和dispci.exe兩個加密檔，這兩個檔用於加密磁片檔。

“壞兔子”通過以上三步驟來完成其勒索流程。一旦上述步驟完成，Bad Rabbit還會掃描內網SMB共用，使用弱密碼和Mimikatz工具獲取登錄憑證等手段嘗試登錄和感染內網其他主機，在局域網中進行傳播，對企業用戶危害極大。

勒索介面

感染此惡意軟體的電腦會跳轉到勒索頁面，提示受害者需要支付0.05比特幣的贖金（合275美元）解鎖他們的資料。勒索資訊提供支付贖金的流程，限時40小時，

否則勒索贖金將會增加。不過支付贖金之後是否可以解密電腦檔尚不清楚。

受害者電腦會顯示如下的告知支付贖金的介面：

與之前Petya/NotPetya勒索軟體比較：

BadRabbit與之前爆發的Petya/NotPetya勒索軟體有多個地方行為相同：包括使用開源的加密軟體DiskCryptor對文檔用RSA-2048的方式加密，和掃描內網SMB共用然後使用Mimikatz工具獲取登錄憑證嘗試登錄和感染內網其他主機。

與Petya/NotPetya勒索軟體不同的是從已知樣本尚未發現通過永恆之藍（EternalBlue）漏洞進行攻擊傳播，而是通過水坑攻擊方式。

處置建議

“壞兔子”勒索病毒攻擊事件有進一步擴散的趨勢，為避免受到威脅，建議加強互聯網終端防護措施，安裝殺毒軟體、升級病毒庫，做好網路安全防護工作。

1、電腦安裝防病毒安全軟體，確認規則升級到最新。

2、關閉WMI服務來避免這個惡意軟體通過網路散播。（(WMI，中文名字叫Windows管理規範。WMI不僅可以獲取想要的電腦資料，而且還可以用於遠端控制。如何關閉WMI，大家可以百度一下，在windows的服務中關閉這個服務即可）

3、關閉Windows主機135/139/445等共用服務埠，禁用方法參考：

https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html

4、備份電腦上的重要文件到本機以外的其他機器上，檢查組織內部的備份機制是否正常運作。

網警提示

1、不要輕信網站提示彈窗和下載程式，軟體更新通過安全可信管道進行下載更新。

2、不要輕易打開包含未經請求的郵件的檔，或點開其中嵌入的連結。