攻擊事件
2017年10月24日,俄羅斯、烏克蘭等國當日遭到“壞兔子”勒索軟體攻擊。俄羅斯最大的新聞通訊社之一國際文傳通訊社、《豐坦卡報》網站及另一家媒體24日也遭“壞兔子”病毒攻擊,國際文傳通訊社發稿受到影響。烏克蘭敖德薩國際機場一些航班被推遲。
烏克蘭國家機構和基礎設施是此次攻擊的主要目標,奧德薩機場、基輔捷運和烏克蘭基礎設施部門都受到了此次大規模網路攻擊的影響。”
俄羅斯網路安全廠商卡巴斯基實驗室25日報告,“壞兔子”已經攻擊了位於俄羅斯、烏克蘭、土耳其和德國境內的約200家公司的計算機網路。其中,大部分目標位於俄羅斯境內。
病毒危害
金山毒霸安全實驗室分析發現,壞兔子病毒傳播者首先偽造一個Adobe Flash Player,用來欺騙目標用戶下載安裝。一旦安裝中毒後,病毒就會加密含以下擴展名的檔案:
和其他勒索病毒不同,該病毒加密破壞後的文檔,並不修改文檔擴展名,故中毒用戶只在病毒彈出索要比特幣的視窗或雙擊打開文檔時才會發現系統已遭破壞。
該病毒還會利用區域網路共享服務傳播,如果區域網路內用戶較多使用了弱密碼,一旦在區域網路出現感染,就可能造成較大影響。
壞兔子病毒在區域網路中通過猜測以下用戶名來登錄:
Administrator、Admin、Guest、User、User1、user-1 、Test、root、buh、boss、ftp、rdp、rdpuser、rdpadmin、manager、support、work、other user、operator、backup、asus、ftpuser、ftpadmin、nas、nasuser、nasadmin、superuser、netguest、alex
壞兔子病毒在區域網路傳播中猜測以下弱口令來登錄:
Administrator、administrator、Guest、guest、User、user、Admin、adminTest、test、root、123、1234、12345、123456、1234567、12345678、123456789、1234567890、Administrator123、administrator123、Guest123、guest123、User123、user123、Admin123、admin123Test123、test123、password、111111、55555、77777、777、qwe、qwe123、qwe321、qwer、qwert、qwerty、qwerty123、zxc、zxc123、zxc321、zxcv、uiop、123321、321、love、secret、**、 god
壞兔子一旦計算機受到這種病毒感染,就會被定向到一個隱蔽網站,同時要求受害者支付0.05個比特幣的贖金,大約價值280美元。如果受攻擊目標在40個小時之內沒有支付贖金,黑客就會不斷提高贖金的數額,同時通過黑色背景紅色文字的顯眼方式不斷進行提醒。
預防措施
1、必須創建檔案C:windowsinfpub.dat,並將其設定為“唯讀檔案”。
2、如果有計算機遭到入侵應儘快將其隔離,並檢查備份的有效性及完整性。
3、阻止傳播惡意檔案的IP位址和域名;建議用戶關閉彈出視窗。
4、建議用戶將所有密碼更改為複雜密碼。
