注入腳本代碼
一旦虛假的安裝包被點擊,其會生成加密文件infpub.dat和解密文件dispci.exe�����?��!皦耐米印蓖ㄟ^三步驟來完成其勒索流程����,其對應的三個文件名均來源于美劇《權(quán)利的游戲》�����。
?rhaegal.job — 負責執(zhí)行解密文件。
?drogon.job — 負責關(guān)閉受害者電腦�。然后勒索軟件加密系統(tǒng)中的文件,顯示如下勒索信息�。
勒索信息
?viserion_23.job — 負責重啟受害者電腦,重啟后屏幕被鎖定�����,顯示如下信息:
重啟后屏幕顯示的信息
“壞兔子”可以在內(nèi)網(wǎng)中擴散傳播����,其使用Windows ManagementInstrumentation(WMI)和服務控制遠程協(xié)議,在網(wǎng)絡中生成并執(zhí)行自身拷貝文件��。在使用服務控制遠程協(xié)議時����,“Bad Rabbit”采用字典攻擊方法獲取登陸憑證。
經(jīng)過深入分析��,我們還發(fā)現(xiàn)“壞兔子”使用開源工具Mimikatz獲取憑證��,其也會使用合法磁盤加密工具DiskCryptor加密受害者系統(tǒng)����。
亞信安全教你如何防御
1、暫時關(guān)閉內(nèi)網(wǎng)中打開共享的機器����;
2、關(guān)閉WMI服務�����;
3���、更換復雜密碼�;
4�����、亞信安全最新病毒碼版13.740.60已經(jīng)包含此病毒檢測(掃描引擎版本9.850及以上)�,該版本病毒碼已經(jīng)發(fā)布,請用戶及時升級病毒碼版本���;
5����、亞信安全客戶開啟OfficeScan 11的行為監(jiān)控功能(AEGIS),可有效阻攔勒索病毒對用戶文件的加密�����;
6�����、亞信安全DDAN沙盒產(chǎn)品已經(jīng)包含此病毒的檢測�����,檢測名:VAN_FILE_INFECTOR.UMXX����。
早期的分析說明,該病毒利用了與Petya勒索病毒相似的組件進行傳播��,由于黑客在Petya勒索病毒及其變種中���,使用了與WannaCry相同的攻擊方式����,都是利用MS17-010(”永恒之藍”)漏洞傳播����;有些更是通過帶有DOC文檔的垃圾郵件附件進行傳播,通過Office CVE-2017-0199漏洞來觸發(fā)攻擊���。因此�����,亞信安全建議用戶采取如下防護措施:
?及時更新系統(tǒng)補丁程序��,或者部署虛擬補?��。?/p>
?啟用防火墻以及入侵檢測和預防系統(tǒng)���;
?主動監(jiān)控和驗證進出網(wǎng)絡的流量����;
?主動預防勒索軟件可能的入侵途徑�,如郵件,網(wǎng)站�;
?使用數(shù)據(jù)分類和網(wǎng)絡分段來減少數(shù)據(jù)暴露和損壞;
?禁用SMB端口;
?打全補丁程序�����,特別是ms17-010補丁程序��。
針對Petya勒索病毒解決方案
亞信安全病毒碼版本(13.500.60)�����,云病毒碼版本(13.500.71)已經(jīng)包含此病毒檢測�����,2017年6月28日已經(jīng)發(fā)布�,請用戶及時升級病毒碼版本。
針對”永恒之藍”漏洞解決方案
亞信安全DeepSecurity和TDA 已經(jīng)于5月2號發(fā)布規(guī)則能夠抵御該勒索病毒在內(nèi)網(wǎng)的傳播:
?TDA:2383:cve-2017-0144-RemoteCode Executeion-SMB(Request)
?Deep Security:1008306- Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)
?亞信安全DeepEdge在4月26日已發(fā)布了針對微軟遠程代碼執(zhí)行漏洞 CVE-2017-0144的4條IPS規(guī)則
(規(guī)則名稱:微軟MS17 010 SMB遠程代碼執(zhí)行1-4���,規(guī)則號:1133635,1133636,1133637,1133638)
針對Office CVE-2017-0199漏洞解決方案
亞信安全DeepSecurity 和TDA 已經(jīng)于4月13日發(fā)布規(guī)則�����,攔截該漏洞:
?1008285- Microsoft Word Remote Code Execution Vulnerability (CVE-2017-0199)
?1008295 – RestrictMicrosoft Word RTF File With Embedded OLE2link Objec
?1008297- IdentifiedSuspicious RTF File With Obfuscated Powershell Execution (CVE-2017-0199)
?TDA Rule 18 : DNS response of a queried malwareCommand and Control domain
亞信安全WRS已經(jīng)可以攔截上述惡意文檔相關(guān)C&C服務器及惡意鏈接�。
