坏兔子“Bad Rabbit”勒索软件假冒Adobe Flash传播注意预防方法

 一、病毒信息

近日，名为“Bad Rabbit”（译为坏兔子）勒索软件现身网络，目前包括德国、乌克兰、土耳其在内的欧洲多国基础设施遭受勒索攻击。Bad Rabbit并不具备魔窟“WannaCry”、必加“Petya”集成永恒之蓝漏洞的远程攻击能力，但用户仍需防范。

根据安全厂商的研究，目前攻击主要发生在俄罗斯、乌克兰、土耳其和德国等，而且没有使用漏洞利用程序，但是不排除会进而攻击中国的企业。它是一种路过式攻击：受害人从受感染网站下载假冒的Adobe Flash安装程序，手动启动.exe文件后就会感染病毒，而负责传播该软件的大部分是新闻或媒体网站。一旦被该勒索软件攻击，它会索要0.05比特币赎金，根据目前兑换率大约是280美元，并且根据支付时间而增加金额。


二、病毒传播途径

攻击者可能攻陷了一些正常网站，当受害者访问这些网站时欺骗受害者更新adobe flash，将下载链接重定向到自己的恶意服务器（http://1dnscontrol.com/flash_install[.]php），受害者应是手动点击下载并运行了伪装的adobe flash程序而被感染。

另一种是攻击者可以通过已被感染的受害者，利用IPC $弱口令在内网横移传播。一旦组织机构有一台机器感染，内网中其他机器也可能受到攻击，建议排查内网IPC弱口令的主机，部署内网纵深防御体系。


三、防护建议

安全狗建议大家，下载Adobe Flash时务必到官网下载，切忌下载来源不明的软件，并且要安装杀毒软件来防护此类恶意软件。 

国外安全厂商发现该病毒存在终止开关，只要在C:\\Windows位置创建一个名为cscc.dat的文件，任意内容即可，则不会感染当前病毒。