关于“Bad Rabbit”（坏兔子）勒索软件温馨提示

近期，一款名为“Bad Rabbit”（坏兔子）的勒索软件在境外蔓延。国家互联网应急中心（CNCERT）第一时间对该勒索软件进行分析，截至通报发布日，我国境内尚未发现规模性感染。


一、漏洞基本情况


2017年10月24日，“Bad Rabbit”（坏兔子）勒索软件在境外蔓延，目前涉及的国家主要有俄罗斯、乌克兰、德国、土耳其等欧洲国家，受害者包括俄罗斯的国际文传电讯社、乌克兰敖德萨国际机场、乌克兰基辅地铁系统等欧洲多国基础设施。


与之前的“Wannacry”与“Petya”不同，“Bad Rabbit”并未使用漏洞进行传播。攻击者通过攻陷合法网站，在合法网站中植入恶意代码，伪装成Adobe Flash升级更新弹窗，诱导用户主动点击下载并手动运行伪装成AdobeFlash的“Bad Rabbit”勒索软件。此勒索软件会加密感染者电脑中的文件，并提示受害者支付0.05比特币的赎金；此、、外，该勒索软件会扫描内网SMB共享，使用弱密码和Mimikatz工具获取登录凭证等手段尝试登录和感染内网其它主机。


二、漏洞影响范围


目前，该勒索软件主要在境外蔓延。根据CNCERT 监测，10 月24 日至10 月25 日期间，境内仅发现极少量IP 存在该勒索软件下载以及分发行为。疑似感染地区包括广东、河南、福建与北京。截止到此通报发布日期，我国境内尚未发现规模性感染。


三、应对措施


尽管此勒索软件并未利用漏洞进行大规模传播，但不排除后续出现利用漏洞进行传播的变种的可能。针对国内互联网用户, 我中心的防护建议如下：


1）检查系统中是否存在以下三个文件之一，若存在则说明已经感染该勒索软件，请立即清除：


    C:\Windows\dispci.exe


    C:\Windows\infpub.dat


    C:\Windows\cscc.dat


2）安装并及时更新杀毒软件产品；


3）及时关闭计算机以及网络设备上的445 和139 端口；


4）及时更新系统安全补丁；


5）关闭不必要的网络共享；


6）使用强度较高的密码并定期更换，降低系统密码被破解的风险；


7）不要轻信网站弹窗，请从官方网站或可信渠道下载软件更新；


8）定期在不同的存储介质上备份计算机上的重要文件。