信息安全门户网站安全导航报道,10月24日晚,俄罗斯、乌克兰等多个东欧国家遭Bad Rabbit勒索病毒袭击,政府、交通、新闻等200多家机构受到不同程度影响。目前,美国已发现感染传播情况,国内尚未监测发现被攻击情况。该勒索软件通过虚假Flash更新链接传播,当用户访问被入侵控制的合法网站时,网页跳转到虚假的Flash更新网站,一旦用户下载并安装虚假的Flash更新包则系统被感染。目前,监测发现23个被入侵网站,1个位于日本,其他多数为俄语网站。被感染主机可通过SMB等服务端口探测并试图感染内网其他主机。
鉴于该勒索病毒潜在危害较高,影响较大,10月25日,中共北京市委网信办、市公安局、市经信委等单位联合发布预警通报:一是警惕类似Adobe Flash下载更新链接;二是及时关闭TCP 137、139、445端口;三是检查内网机器设置,暂时关闭设备共享功能;四是禁用Windows系统下的管理控件WMI服务。同时,请各党政机关、新闻以及大型商业网站加强安全防护,防止被入侵控制,发现系统感染和遭受攻击情况后及时报告。
相关:
网络安全公司卡巴斯基实验室(Kaspersky Lab)表示,(10月24日)星期二开始新网络勒索病毒“Bad Rabbit”对俄罗斯企业网络发起了攻击。德国、土耳其和乌克兰的一些公司也受到了一定的影响。
“观察发现,大多数受害者位于俄罗斯。虽然乌克兰、土耳其和德国也有受害者,但规模相对较小。俄罗斯新闻媒体类网站是重灾区。”
受病毒感染的电脑无法进入系统,只能看到满屏的勒索提示,中招者需在40小时之内支付0.05比特币(约合300美金,1700元人民币)才能解锁。而且勒索页面有一个计时器,如果中招者不能在指定时间内支付“赎金”,解锁金额将提高。
卡巴斯基实验室说:“BadRabbit与之前的ExPetr勒索病毒(2017年6月严重袭击了俄罗斯和乌克兰网络)算法相似,但目前还未能确定是否与之相关。”
卡巴斯基实验室建议,没有使用病毒防护软件的用户可限制某些文件的执行,如C:Windowsinfpub.dat、C:Windowscscc.dat等,并关闭Windows Management Instrumentation(WMI)服务。
卡巴斯基实验室说,“BadRabbit是继日前席卷多国臭名昭著的WannaCry 和 ExPetr病毒之后,第三个对多国造成严重影响的病毒。”
WannaCry在5月份出现,影响了150多个国家30万人,感染了一些主要公司和机构,如英国国家卫生署(NHS)和西班牙电信公司Telefonica等均受到了影响。
WannaCry病毒的攻击来源尚未确定,但10月早些时候微软总裁兼首席法务官Brad Smith认为该病毒来自朝鲜,称朝鲜使用了从美国国家安全局窃取的网络工具或武器。但Brad Smith并没有给出证据来支持他的说法。
在WannaCry之后,2017年6月Petya 勒索病毒袭击了乌克兰政府网络、私人网络和地铁系统,全球许多公司都受到了影响。
美国政府已发布了BadRabbit病毒攻击警告,告诫用户勿使用不受支持和过期软件。根据美国计算机应急准备小组(US-CERT))数据,BadRabbit病毒可能是Petya病毒的新变种。
US-CERT向全球许多国家发送了Bad Rabbit病毒报告,小组说,“不鼓励个人或组织支付赎金,因为并不能保证系统能恢复。”