新勒索病毒 Bad Rabbit (壞兔子) ,透過偽冒的 Flash更新進行散播

一波進行中的勒索病毒攻擊正在東歐國家發生,疑是 Petya 勒索病毒的變種被稱為Bad Rabbit 壞兔子 (趨勢科技將其偵測為RANSOM_BADRABBIT.A)。趨勢科技具備 XGen 技術的產品在不更新病毒碼的情況下已可主動偵測並攔阻這支勒索病毒(TROJ.Win32.TRX.XXPE002FF019)。在今年六月Petya 勒索病毒重擊歐洲國家後的數月,BadRabbi t這次的攻擊事件顯得特別地引人矚目。

初步報導主要損害發生在烏克蘭和俄羅斯的運輸系統和媒體。烏克蘭的 CERT組織(CERT-UA)也發出一份公告來警告可能的進一步勒索病毒攻擊。

透過偽冒的 Flash更新來進行傳播;採用了合法的加密工具-DiskCryptor-來加密受害者的系統

從初期的幾份報告看來,BadRabbit勒索病毒會透過偽冒的Flash更新來進行傳播,再結合 Mimikatz工具提取憑證(過去攻擊中也曾使用)。此外,這次攻擊顯然也使用了常見的硬編碼憑證列表,例如Admin, Guest, User, Root等。另外也有證據顯示,BadRabbit 勒索病毒採用了合法的加密工具-DiskCryptor-來加密受害者的系統。

 

PC-cillin 2018雲端版 防範勒索 保護個資 ✓手機✓電腦✓平板,跨平台防護3到位

 

初步分析

Figure 1: Bad Rabbit Infection Chain

圖1:Bad Rabbit感染鍊

 

趨勢科技的初步分析顯示Bad Rabbit通過假Flash安裝程式“install_flash_player.exe”的水坑攻擊進行散播。被駭網站被注入了一個腳本,包含一個解析為hxxp://1dnscontrol[.]com/flash_install的網址,該連結在本文發表時已經無法連上。我們也在丹麥、愛爾蘭、土耳其和俄羅斯觀察到一些受駭網站會散播假Flash安裝程式。 繼續閱讀