科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Bad Rabbit - 乌克兰和俄罗斯爆发新型勒索软件

Bad Rabbit - 乌克兰和俄罗斯爆发新型勒索软件

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

被称为“BadRabbit”的勒索软件要求在感染后的最初 40 小时内支付 0.05 比特币(约 280 美元),超过该期限后赎金可能上升到未知的金额。

作者:Check Point 研究团队 来源:至顶网安全频道 2017年10月30日

关键字: 勒索软件 Check Point

  • 评论
  • 分享微博
  • 分享邮件

乌克兰安全局在 10 日 14 日发出警告说,10 月 13 日至 17 日期间可能发生类似于 notPetya 的新型大规模网络攻击。

此次攻击比预期延迟了几天;今日(2017 年 10 月 24 日),勒索软件攻击在欧洲爆发。

乌克兰是该恶意软件的主要攻击目标,许多重要的基础设施(如火车站、机场和媒体网站)因遭受攻击而停运。其他受影响的国家包括土耳其、俄罗斯和保加利亚。

受影响的公司包括基辅地铁(乌克兰铁路服务)、敖德萨机场(乌克兰)、乌克兰基础设施和金融部门,以及国际文传通讯社(Interfax,一家俄罗斯的大型媒体机构)。受影响的行业包括金融、医疗保健、分销和软件供应商。

被称为“BadRabbit”的勒索软件要求在感染后的最初 40 小时内支付 0.05 比特币(约 280 美元),超过该期限后赎金可能上升到未知的金额。

Bad Rabbit - 乌克兰和俄罗斯爆发新型勒索软件 

该勒索软件通过伪装的 Flash 软件安装程序进行传播,此安装程序据称是由一家正规的俄语新闻网站作为弹出窗口提供。一旦运行,弹出窗口会导向受感染的网站,然后下载可执行病毒释放器。

勒索软件使用一种称作 DiskCryptor 的已知开源软件来加密受害者的驱动器。

用户看到的锁屏几乎与恶名昭彰的 Petya 和 NotPetya 如出一辙。然而,锁屏是我们迄今为止在两种恶意软件之间所观察到的唯一相似之处,从所有其他方面来看,BadRabbit 是一种全新而独特的勒索软件。

成功感染后,该勒索软件为每个受害者创建一个唯一密钥,该密钥与托管在 Tor 上的支付站点信息一并存放在已创建的“READ ME.txt”文件中。支付网站使用不同颜色及不断变化的字母,非常生动、显眼。

Bad Rabbit - 乌克兰和俄罗斯爆发新型勒索软件

在 Tor 支付网站输入用户密钥后,每个用户都会收到唯一的比特币钱包,用户必须将 0.05 比特币的赎金转到该钱包。

Bad Rabbit 勒索软件攻击与 WannaCry 和 Petya 一样,也可以进行防范。勒索软件和其他恶意软件并非新常态。观看此视频以了解“什么是勒索软件”以及“为何成为网络攻击目标是个不该发生的紧急事件”。然后,阅读白皮书“The Next Cyber Attack Can Be Prevented(预防接踵而来的网络攻击)”以了解五个可避免遭受未来勒索软件攻击的可行策略。

使用以下 Check Point 产品的客户可以防范此类威胁:

Check Point IPS 刀片具备防止恶意软件感染保护措施,可避免此类恶意软件:

  • 含勒索软件的可疑的可执行文件
  • 可疑的勒索软件 Dropzone 

技术概述

最初,Bad Rabbit 恶意软件会删除名为“rhaegal”的调度任务:

schtasks /Delete /F /TN rhaegal

然后创建一个名称完全相同的调度任务:

schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR "C:\Windows
\system32\cmd.exe /C Start \"\" \"C:\Windows\dispci.exe\" -id %d && exit"

这个新任务负责在系统启动后运行负载。

然后,恶意软件会调度系统重新启动(任务名称为“drogon”):

schtasks /Create /SC once /TN drogon /RU SYSTEM /TR "C:\Windows\system32\shutdown.exe /r /t 0 /f" /ST hh:mm:ss

电脑重启后,即开始加密过程。

Bad Rabbit 可以对 MBR 和文件进行加密和解密。

下面是由 Bad Rabbit 加密的文件扩展名列表:

Bad Rabbit - 乌克兰和俄罗斯爆发新型勒索软件

Bad Rabbit - 乌克兰和俄罗斯爆发新型勒索软件

Bad Rabbit - 乌克兰和俄罗斯爆发新型勒索软件

Bad Rabbit - 乌克兰和俄罗斯爆发新型勒索软件

Bad Rabbit - 乌克兰和俄罗斯爆发新型勒索软件

Bad Rabbit - 乌克兰和俄罗斯爆发新型勒索软件

Bad Rabbit - 乌克兰和俄罗斯爆发新型勒索软件

磁盘加密是使用名为 DiskCryptor(开源分区加密解决方案)

https://github.com/smartinm/diskcryptor的开源工具来完成。

在这个阶段,MBR 和第二阶段开机程序均遭到加密。

所有与 DiskCryptor 驱动程序的交互都是通过开启以下设备进行:

\\.\dcrypt

要启动加密过程,将向其发送以下 IOCTL:

DC_CTL_ENCRYPT_START

似乎有两个不同的密码用于加密文件。第一个密码应该在系统开机时输入。在系统通过枚举磁盘上的所有加密文件进行开机时,使用第二个密码来解密文件(上面提到的扩展名)。

4折票,仅售10天 | 报名智能合约与区块链培训讲座,获世界智能大会参会特权

科技行者:每条内容都是头条的新闻客户端 扫码立即下载

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    往期文章
    最新文章