10月24日,“坏兔子”勒索病毒开始在境外蔓延,目前涉及的国家主要有俄罗斯、乌克兰、德国、土耳其等欧洲国家。《华尔街日报》25日称,该病毒也已蔓延到美国,美国已就此发出警告。
坏兔子影响范围——迅速影响重要基础设施
坏兔子(Bad Rabbit)是一种新型的勒索病毒,感染病毒后受害电脑的文件会自动加密,让电脑无法使用,要求电脑用户支付赎金才能解密。这次勒索软件要求在一定时间内支付0.05枚比特币(约合280美元),不及时支付会立即提高赎金金额,然而支付赎金之后是否可以解密电脑文件尚不清楚。
多家网络安全机构监测分析发现,与此前席卷多国的Wannacry、Petya勒索病毒类似,“坏兔子”也会以感染的设备为跳板,攻击局域网内的其他电脑,形成“一台中招,一片遭殃”的情况。据路透社报道,俄罗斯等国遭到“坏兔子”勒索软件攻击,导致俄国际文传电讯社受到影响,乌克兰敖德萨国际机场一些航班被推迟,乌克兰首都基辅的地铁支付系统也出现问题。网络安全公司ESET的研究人员罗伯特·利波夫斯基称,这些攻击之所以引起恐慌,是因为它们迅速影响到了重要基础设施。
坏兔子攻击分析——网站疑成“帮凶”
安全反病毒实验室分析发现,“坏兔子”爆发的主要原因是攻击者使用了一种名为“水坑攻击”的手段,攻击者首先通过入侵新闻媒体类网站,当用户浏览这些网站时,用户浏览器就会弹出伪装的Adobe flash player升级的对话框,一旦点击了安装按钮后,就会下载勒索软件。
“水坑攻击”是黑客攻击方式之一,即在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。
这与5月份不法分子利用微软漏洞发动的WannaCry勒索病毒攻击不同,之前WannaCry勒索病毒是伪装成发票、收据和文件压缩包等邮件引诱用户点击恶意文件,而“水坑攻击”这种钓鱼式的手段令用户很难辨别真伪,更具迷惑性。
防范建议
国家互联网应急中心和多家网络安全机构建议用户,近期采取积极的安全防范措施:
● 安装并及时更新杀毒软件产品;
● 及时关闭计算机以及网络设备上的445和139端口;
● 及时更新系统安全补丁;
● 关闭WMI服务,避免恶意软件通过网络传播;
● 使用强度较高的密码并定期更换,降低系统密码被破解的风险;
● 不要轻信网站弹窗,请从官方网站或可信渠道下载软件更新;
● 谨慎打开未知文件;
● 定期在不同的存储介质上备份计算机上的重要文件。
俄罗斯网络安全公司Group-IB也公布了如何避免感染“坏兔子”(BadRabbit)加密病毒的办法:
● 为避免病毒感染,必须创建文件C:\windows\infpub.dat并将其设定为“只读文件”。专家说:“之后即使文件被感染也不会被加密。”
● 如果有计算机遭到入侵应尽快将其隔离,并检查备份的有效性及完整性。个人电脑用户应更新操作系统和安全系统。
● 建议阻止传播恶意文件的IP地址和域名;建议用户关闭弹出窗口。
● 在密码策略方面,应调整组策略来禁止密码以开放形式存储在LSA转储中。应将所有密码更改为复杂密码。
除此之外,沃通(www.wosign.com) 认为网站也需要加强网络安全防护能力,比如:新闻媒体类网站、门户论坛、视频网站、搜索引擎等大流量站点,避免被黑客利用,成为勒索病毒攻击的“帮凶”。为网站安装SSL证书 加密传输数据,并使用代码签名证书 为网站相关控件进行数字签名,是网站必备的基础安全防护措施。用户可通过SSL证书判断网站真实身份,通过控件的数字签名判断开发者身份,避免误入钓鱼网站或下载恶意软件感染病毒木马。沃通始终致力于构建安全可信的互联网环境,持续提供全球信任的SSL证书和代码签名证书,为各行业领域提供在线安全与在线信任的解决方案。
沃通原创整理,转载请注明出处https://www.wosign.com/news/bad-rabbit.htm
网友评论