锐捷防火墙关于“坏兔子”（Bad Rabbit）勒索病毒的处理公告

背景

2017年10月24日，名为“坏兔子”（Bad Rabbit）的新型勒索软件，于境外发动了大规模的网络攻击，攻击范围目前主要集中在俄罗斯和东欧地区，目前已向美国扩散，国内暂时没有发现批量性感染。一旦计算机被其感染，“坏兔子”就会在界面上显示勒索信息，要求受害人登陆某个隐藏的服务网站，支付一定数额的比特币来解除加密。

分析

该勒索软件近似于今年爆发的Petya勒索软件，使用加密软件对文档进行加密。具体过程为Bad Rabbit将恶意代码植入到了合法网站里，伪装成Flash升级更新窗口（如下图），用户点击升级后将恶意程序在PC上运行(名为” install_flash_player.exe”)。感染此恶意软件的PC会弹出勒索页面，具体过程如下：

1、如果电脑感染了Bad Rabbit，会释放一个文件，C:\Windows\infpub.dat 

2、该文件通过命令

C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat, #1 15来执行该文件。

3、执行后，infpub.dat会创建C:\Windows\cscc.dat文件。同时创建Windows服务 Windows Client Side Caching DDriver，用于cscc.dat驱动。

4、cscc.dat为整个过程的最后一个文件，用于加密信息并且展示勒索的页面。

此外，不同于之前传播的勒索病毒，“坏兔子”还具有创建任务、重启计算机等其他功能，锐捷安全团队将持续分析并关注。

建议应对措施

终端处理建议：

• 安装并运行杀毒软件，及时更新病毒库。
• 备份重要文件。
• 关闭网络共享及对外的服务端口。
• 未确定来源的弹窗与邮件不要随意打开，涉及软件更新和安装需要从软件官方的渠道进行。

锐捷RG-WALL系列防火墙已经可以有效防御BadRabbit勒索病毒：

•  开启应用控制、恶意URL过滤、入侵防护、反病毒等安全功能。
• 及时更新到10月25日以后的病毒特征库。