（該內容由協會會員"亞信安全"提供）

  10月24日，歐洲遭遇新一輪勒索病毒攻擊，俄羅斯、烏克蘭、土耳其、德國受影響，致使歐洲數國電腦系統遭遇勒索，并已經開始向美國擴散。該勒索病毒被命名為“Bad Rabbit”，亞信安全將其檢測為Ransom_BADRABBIT.SM和 Ransom_BADRABBIT.SMA。

  勒索軟件將受害電腦的文件加密，讓電腦無法使用，從而要求支付贖金。“Bad Rabbit”勒索軟件要求支付0.05比特幣（合275美元）。經過研究人員深入分析，雖然 “Bad Rabbit” 擁有部分與Petya勒索病毒相同的代碼；但是最新的這波攻擊不大可能造成Petya那種程度的全球性破壞。

  “Bad Rabbit” 勒索病毒通過共享和弱密碼在內網擴散，因此對企業危害較大。我們持續關注該勒索病毒發展動態，為大家提供實時解決方案。

“Bad Rabbit”勒索病毒技術分析

  “Bad Rabbit”勒索病毒通過水坑攻擊傳播，攻擊者先在特定網站上注入包含URL的腳本文件，誘騙用戶下載虛假的Flash安裝程序“install_flash_player.exe”。嵌入的URL最終解析為：hxxp://1dnscontrol.com/flash_install，目前為止該鏈接已經不可訪問。

【注入腳本代碼】

  一旦虛假的安裝包被點擊，其會生成加密文件infpub.dat和解密文件dispci.exe。“Bad Rabbit”通過三步驟來完成其勒索流程，其對應的三個文件名均來源于美劇《權利的游戲》。

l  rhaegal.job --- 負責執行解密文件

l  drogon.job --- 負責關閉受害者電腦。然后勒索軟件加密系統中的文件，顯示如下勒索信息。

【勒索信息】

l  viserion_23.job --- 負責重啟受害者電腦，重啟后屏幕被鎖定，顯示如下信息：

【重啟后屏幕顯示的信息】

  “Bad Rabbit”可以在內網中擴散傳播，其使用Windows Management Instrumentation（WMI）和服務控制遠程協議，在網絡中生成并執行自身拷貝文件。在使用服務控制遠程協議時，“Bad Rabbit”采用字典攻擊方法獲取登陸憑證。

  經過深入分析，我們還發現Bad Rabbit使用開源工具Mimikatz獲取憑證，其也會使用合法磁盤加密工具DiskCryptor加密受害者系統。

解決方案

l  檢查內網打開共享的機器，并暫時關閉共享；

l  關閉WMI服務；

l  更換復雜密碼；