Bad Rabbit - 乌克兰和俄罗斯爆发新型勒索软件

乌克兰安全局在 10 日 14 日发出警告说，10 月 13 日至 17 日期间可能发生类似于 notPetya 的新型大规模网络攻击。

此次攻击比预期延迟了几天；今日（2017 年 10 月 24 日），勒索软件攻击在欧洲爆发。

乌克兰是该恶意软件的主要攻击目标，许多重要的基础设施（如火车站、机场和媒体网站）因遭受攻击而停运。其他受影响的国家包括土耳其、俄罗斯和保加利亚。

受影响的公司包括基辅地铁（乌克兰铁路服务）、敖德萨机场（乌克兰）、乌克兰基础设施和金融部门，以及国际文传通讯社（Interfax，一家俄罗斯的大型媒体机构）。受影响的行业包括金融、医疗保健、分销和软件供应商。

被称为“BadRabbit”的勒索软件要求在感染后的最初 40 小时内支付 0.05 比特币（约 280 美元），超过该期限后赎金可能上升到未知的金额。

该勒索软件通过伪装的 Flash 软件安装程序进行传播，此安装程序据称是由一家正规的俄语新闻网站作为弹出窗口提供。一旦运行，弹出窗口会导向受感染的网站，然后下载可执行病毒释放器。

勒索软件使用一种称作 DiskCryptor 的已知开源软件来加密受害者的驱动器。

用户看到的锁屏几乎与恶名昭彰的 Petya 和 NotPetya 如出一辙。然而，锁屏是我们迄今为止在两种恶意软件之间所观察到的唯一相似之处，从所有其他方面来看，BadRabbit 是一种全新而独特的勒索软件。

成功感染后，该勒索软件为每个受害者创建一个唯一密钥，该密钥与托管在 Tor 上的支付站点信息一并存放在已创建的“READ ME.txt”文件中。支付网站使用不同颜色及不断变化的字母，非常生动、显眼。

在 Tor 支付网站输入用户密钥后，每个用户都会收到唯一的比特币钱包，用户必须将 0.05 比特币的赎金转到该钱包。

Bad Rabbit 勒索软件攻击与 WannaCry 和 Petya 一样，也可以进行防范。勒索软件和其他恶意软件并非新常态。观看此视频以了解“什么是勒索软件”以及“为何成为网络攻击目标是个不该发生的紧急事件”。然后，阅读白皮书“The Next Cyber Attack Can Be Prevented（预防接踵而来的网络攻击）”以了解五个可避免遭受未来勒索软件攻击的可行策略。

使用以下 Check Point 产品的客户可以防范此类威胁：

• Check Point 威胁仿真刀片
• Check Point 防病毒刀片
• Check Point 防病毒

Check Point IPS 刀片具备防止恶意软件感染保护措施，可避免此类恶意软件：

• 含勒索软件的可疑的可执行文件
• 可疑的勒索软件 Dropzone 

技术概述

最初，Bad Rabbit 恶意软件会删除名为“rhaegal”的调度任务：

schtasks /Delete /F /TN rhaegal

然后创建一个名称完全相同的调度任务:

schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR "C:\Windows
\system32\cmd.exe /C Start \"\" \"C:\Windows\dispci.exe\" -id %d && exit"

这个新任务负责在系统启动后运行负载。

然后，恶意软件会调度系统重新启动（任务名称为“drogon”）：

schtasks /Create /SC once /TN drogon /RU SYSTEM /TR "C:\Windows\system32\shutdown.exe /r /t 0 /f" /ST hh:mm:ss

电脑重启后，即开始加密过程。

Bad Rabbit 可以对 MBR 和文件进行加密和解密。

下面是由 Bad Rabbit 加密的文件扩展名列表：

磁盘加密是使用名为 DiskCryptor（开源分区加密解决方案）

https://github.com/smartinm/diskcryptor的开源工具来完成。

在这个阶段，MBR 和第二阶段开机程序均遭到加密。

所有与 DiskCryptor 驱动程序的交互都是通过开启以下设备进行：

\.\dcrypt

要启动加密过程，将向其发送以下 IOCTL：

DC_CTL_ENCRYPT_START

似乎有两个不同的密码用于加密文件。第一个密码应该在系统开机时输入。在系统通过枚举磁盘上的所有加密文件进行开机时，使用第二个密码来解密文件（上面提到的扩展名）。