“坏兔子”新型勒索病毒蔓延多国，网站疑成“帮凶”

本月24日，“坏兔子”勒索病毒开始在境外蔓延，目前涉及的国家主要有俄罗斯、乌克兰、德国、土耳其等欧洲国家。《华尔街日报》25日称，该病毒也已蔓延到美国，美国已就此发出警告。

坏兔子影响范围——迅速影响重要基础设施

坏兔子(Bad Rabbit)是一种新型的勒索病毒，感染病毒后受害电脑的文件会自动加密，让电脑无法使用，要求电脑用户支付赎金才能解密。这次勒索软件要求在一定时间内支付0.05枚比特币(约合280美元)，不及时支付会立即提高赎金金额，然而支付赎金之后是否可以解密电脑文件尚不清楚。

多家网络安全机构监测分析发现，与此前席卷多国的Wannacry、Petya勒索病毒类似，“坏兔子”也会以感染的设备为跳板，攻击局域网内的其他电脑，形成“一台中招，一片遭殃”的情况。据路透社报道，俄罗斯等国遭到“坏兔子”勒索软件攻击，导致俄国际文传电讯社受到影响，乌克兰敖德萨国际机场一些航班被推迟，乌克兰首都基辅的地铁支付系统也出现问题。网络安全公司ESET的研究人员罗伯特·利波夫斯基称，这些攻击之所以引起恐慌，是因为它们迅速影响到了重要基础设施。

坏兔子攻击分析——网站疑成“帮凶”

安全反病毒实验室分析发现，“坏兔子”爆发的主要原因是攻击者使用了一种名为“水坑攻击”的手段，攻击者首先通过入侵新闻媒体类网站，当用户浏览这些网站时，用户浏览器就会弹出伪装的Adobe flash player升级的对话框，一旦点击了安装按钮后，就会下载勒索软件。

“水坑攻击”是黑客攻击方式之一，即在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是，黑客分析攻击目标的上网活动规律，寻找攻击目标经常访问的网站的弱点，先将此网站“攻破”并植入攻击代码，一旦攻击目标访问该网站就会“中招”。

这与5月份不法分子利用微软漏洞发动的WannaCry勒索病毒攻击不同，之前WannaCry勒索病毒是伪装成发票、收据和文件压缩包等邮件引诱用户点击恶意文件，而“水坑攻击”这种钓鱼式的手段令用户很难辨别真伪，更具迷惑性。

防范建议

国家互联网应急中心和多家网络安全机构建议用户，近期采取积极的安全防范措施：

• 安装并及时更新杀毒软件产品;
• 及时关闭计算机以及网络设备上的445和139端口;
• 及时更新系统安全补丁;
• 关闭WMI服务，避免恶意软件通过网络传播;
• 使用强度较高的密码并定期更换，降低系统密码被破解的风险;
• 要轻信网站弹窗，请从官方网站或可信渠道下载软件更新;
• 谨慎打开未知文件;
• 定期在不同的存储介质上备份计算机上的重要文件。

俄罗斯网络安全公司Group-IB也公布了如何避免感染“坏兔子”(BadRabbit)加密病毒的办法：

• 为避免病毒感染，必须创建文件C:\windows\infpub.dat并将其设定为“只读文件”。专家说：“之后即使文件被感染也不会被加密。”
• 如果有计算机遭到入侵应尽快将其隔离，并检查备份的有效性及完整性。个人电脑用户应更新操作系统和安全系统。
• 建议阻止传播恶意文件的IP地址和域名;建议用户关闭弹出窗口。
• 在密码策略方面，应调整组策略来禁止密码以开放形式存储在LSA转储中。应将所有密码更改为复杂密码。

除此之外，沃通认为网站也需要加强网络安全防护能力，比如：新闻媒体类网站、门户论坛、视频网站、搜索引擎等大流量站点，避免被黑客利用，成为勒索病毒攻击的“帮凶”。为网站安装SSL证书加密传输数据，并使用代码签名证书为网站相关控件进行数字签名，是网站必备的基础安全防护措施。用户可通过SSL证书判断网站真实身份，通过控件的数字签名判断开发者身份，避免误入钓鱼网站或下载恶意软件感染病毒木马。沃通始终致力于构建安全可信的互联网环境，持续提供全球信任的SSL证书和代码签名证书，为各行业领域提供在线安全与在线信任的解决方案。

沃通原创整理，转载请注明出处 https://www.wosign.com/News/bad-rabbit.htm