一个伪装成Adobe flash player的勒索病毒——“坏兔子”

2018-10-24   

威胁等级：★★★★★
BadRabbit勒索病毒通过挂马网站进行传播，当用户访问这些被挂马的网站，浏览器就会弹出伪装的Adobe flash player升级的对话框，一旦用户点击了"安装"按钮，就会自动下载该病毒。病毒运行后会两次重启电脑，分别加密文档和锁定整个磁盘，受害者无法进入系统，只能看到满屏的勒索提示，该病毒还会尝试通过IPC$和SMB，通过爆破弱密码进行内网传播。

病毒介绍：

BadRabbit勒索病毒通过一些网站进行挂马传播，当网络用户访问这些被挂马的网站，浏览器就会弹出伪装的Adobe flash player升级的对话框，一旦用户点击了"安装"按钮，就会自动下载勒索病毒。

勒索病毒运行后会两次重启电脑，分别进行加密文档和锁定整个磁盘的操作，中招者无法进入系统，只能看到满屏的勒索提示，它会尝试通过IPC$和SMB，通过爆破弱密码进行内网传播。

BadRabbit勒索信息说明要在40小时之内的支付赎金为0.05比特币(约合人民币1700元)，用户需要使用特定的浏览器访问一个暗网链接才能获得解锁用的密钥 。

病毒攻击视频：

查杀病毒视频：

拦截病毒视频：

传播方式：网页挂马、内网弱密码

静态检测：V17 ESM 网络版 安全云终端 防毒墙 预警系统 TSA

积极防御：瑞星之剑

视频测试MD5：FBBDC39AF1139AEBBA4DA004475E8839

IOC特征：

防御措施：

一、误点击陌生链接，警惕类似AdobeFlash下载更新

二、及时关闭TCP 137、139、445端口

三、检查内网机器设置，暂时关闭设备共享功能

四、禁用Windows系统下的管理控件WMI服务。

五、安装防护软件或硬件，及时升级到最新版本