859 魔獸

Bad Rabbit - 烏克蘭和俄羅斯爆發新型勒索軟件

烏克蘭安全局在 10 日 14 日發出警告說，10 月 13 日至 17 日期間可能發生類似於 notPetya 的新型大規模網絡攻擊。

此次攻擊比預期延遲了幾天；今日（2017 年 10 月 24日），勒索軟件攻擊在歐洲爆發。

烏克蘭是該惡意軟件的主要攻擊目標，許多重要的基礎設施（如火車站、機場和媒體網站）因遭受攻擊而停運。其他受影響的國家包括土耳其、俄羅斯和保加利亞。

受影響的公司包括基輔地鐵（烏克蘭鐵路服務）、敖德薩機場（烏克蘭）、烏克蘭基礎設施和金融部門，以及國際文傳通訊社（Interfax，一家俄羅斯的大型媒體機構）。受影響的行業包括金融、醫療保健、分銷和軟件供應商。

被稱為“BadRabbit”的勒索軟件要求在感染後的最初 40 小時內支付 0.05 比特幣（約 280 美元），超過該期限後贖金可能上升到未知的金額。

該勒索軟件通過偽裝的 Flash 軟件安裝程序進行傳播，此安裝程序據稱是由一家正規的俄語新聞網站作為彈出窗口提供。一旦運行，彈出窗口會導向受感染的網站，然後下載可執行病毒釋放器。

勒索軟件使用一種稱作 DiskCryptor 的已知開源軟件來加密受害者的驅動器。

用戶看到的鎖屏幾乎與惡名昭彰的 Petya 和 NotPetya 如出一轍。然而，鎖屏是我們迄今為止在兩種惡意軟件之間所觀察到的唯一相似之處，從所有其他方麵來看，BadRabbit 是一種全新而獨特的勒索軟件。

成功感染後，該勒索軟件為每個受害者創建一個唯一密鑰，該密鑰與托管在 Tor 上的支付站點信息一並存放在已創建的“READ ME.txt”文件中。支付網站使用不同顏色及不斷變化的字母，非常生動、顯眼。

在 Tor 支付網站輸入用戶密鑰後，每個用戶都會收到唯一的比特幣錢包，用戶必須將 0.05 比特幣的贖金轉到該錢包。

Bad Rabbit 勒索軟件攻擊與 WannaCry 和 Petya 一樣，也可以進行防範。勒索軟件和其他惡意軟件並非新常態。觀看此視頻以了解“什麼是勒索軟件”以及“為何成為網絡攻擊目標是個不該發生的緊急事件”。然後，閱讀白皮書“The Next Cyber Attack Can Be Prevented（預防接踵而來的網絡攻擊）”以了解五個可避免遭受未來勒索軟件攻擊的可行策略。

使用以下 Check Point 產品的客戶可以防範此類威脅：

Check Point IPS 刀片具備防止惡意軟件感染保護措施，可避免此類惡意軟件：