交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
无线管理与应用
智慧教室
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
普教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
背景
2017年10月24日,名为“坏兔子”(Bad Rabbit)的新型勒索软件,于境外发动了大规模的网络攻击,攻击范围目前主要集中在俄罗斯和东欧地区,目前已向美国扩散,国内暂时没有发现批量性感染。一旦计算机被其感染,“坏兔子”就会在界面上显示勒索信息,要求受害人登陆某个隐藏的服务网站,支付一定数额的比特币来解除加密。
分析
该勒索软件近似于今年爆发的Petya勒索软件,使用加密软件对文档进行加密。具体过程为Bad Rabbit将恶意代码植入到了合法网站里,伪装成Flash升级更新窗口(如下图),用户点击升级后将恶意程序在PC上运行(名为” install_flash_player.exe”)。感染此恶意软件的PC会弹出勒索页面,具体过程如下:
1、如果电脑感染了Bad Rabbit,会释放一个文件,C:\Windows\infpub.dat
2、该文件通过命令
C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat, #1 15来执行该文件。
3、执行后,infpub.dat会创建C:\Windows\cscc.dat文件。同时创建Windows服务 Windows Client Side Caching DDriver,用于cscc.dat驱动。
4、cscc.dat为整个过程的最后一个文件,用于加密信息并且展示勒索的页面。
此外,不同于之前传播的勒索病毒,“坏兔子”还具有创建任务、重启计算机等其他功能,锐捷安全团队将持续分析并关注。
建议应对措施
终端处理建议:
锐捷RG-WALL系列防火墙已经可以有效防御BadRabbit勒索病毒: