视频列表--国产,少妇人妻精品一区二区

怎么防范勒索病毒Bad Rabbit ？宇眾網(wǎng)絡(luò)科技服務(wù)器租用

2019年11月12日

事件概述

10月24日，歐洲地區(qū)爆發(fā)新型勒索病毒Bad Rabbit（壞兔子），感染范圍包含俄羅斯、烏克蘭、德國等多個(gè)東歐國家。Bad Rabbit（壞兔子）通過“水坑站點(diǎn)”進(jìn)行傳播，主要通過偽裝成Adobe Flash的安裝程序，誘使用戶安裝，從而感染用戶主機(jī)。

病毒傳播過程

Bad Rabbit（壞兔子）勒索病毒與5月份和6月份爆發(fā)的WannaCry和NotPetya攻擊方式類似。比如，使用弱口令嘗試登陸共享服務(wù)，通過內(nèi)網(wǎng)共享和弱密碼在局域網(wǎng)中擴(kuò)散，最后加密系統(tǒng)文件，關(guān)機(jī)重啟后提示通過支付比特幣解密。

但是Bad Rabbit（壞兔子）勒索病毒并沒有利用之前的微軟操作系統(tǒng)“永恒之藍(lán)”的漏洞，而主要通過水坑站點(diǎn)進(jìn)行傳播。

據(jù)分析，Bad Rabbit（壞兔子）勒索病毒目前針對(duì)的俄羅斯和其它東歐國家，主要通過在已被黑站點(diǎn)展示虛假的Adobe Flash更新通知。當(dāng)用戶點(diǎn)擊這些通知消息時(shí)，它就會(huì)下載一個(gè)名為install_flash_player.exe的文件。一旦虛假的安裝包被點(diǎn)擊，其會(huì)生成infpub.dat和dispci.exe兩個(gè)加密文件，這兩個(gè)文件用于加密磁盤文件。“壞兔子”通過以上三步驟來完成其勒索流程，感染勒索界面如下圖所示：

一旦上述步驟完成，Bad Rabbit（壞兔子）勒索病毒將利用本機(jī)口令和弱口令在局域網(wǎng)中進(jìn)行傳播，感染其他主機(jī)，對(duì)企業(yè)用戶危害極大。

目前已知的被加密文件后綴名有：

.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

加密文件后會(huì)在系統(tǒng)根目錄下留一個(gè)Readme.txt的文件，里面就是勒索病毒提示支付贖金的信息。

解決方案

1、關(guān)閉WMI服務(wù)，避免惡意軟件通過網(wǎng)絡(luò)傳播；

2、關(guān)閉Windows主機(jī)135/139/445等共享服務(wù)端口，禁用方法參考：

https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html

3、局域網(wǎng)共享PC使用復(fù)雜密碼；

4、及時(shí)更新殺毒軟件病毒庫，以便能檢測(cè)到該勒索病毒；

5、可使用僵尸網(wǎng)絡(luò)查殺工具SfabAntiBot 進(jìn)行查殺（請(qǐng)保持聯(lián)網(wǎng)并及時(shí)更新到最新版本）

僵尸網(wǎng)絡(luò)查殺工具的更新下載地址為：http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

目前該病毒樣本已公開，且在國內(nèi)并無大規(guī)模傳播