新勒索病毒来袭！多地监测到疑似感染

2017年10月28日 16:22:50
来源：南方都市报

原标题：新勒索病毒来袭！广东等地已监测到疑似感染， 千万不要点击这个按钮！ 

10月24日晚，一款名为“坏兔子”（Bad Rabbit）的新型勒索病毒在欧洲部分地区蔓延，致使多个国家的媒体、交通设施的电脑系统遭受攻击。

目前，该勒索病毒已攻击了俄罗斯、乌克兰、土耳其和德国境内的200多家机构。截至26日，国内尚未发现规模性感染。

鉴于“坏兔子”勒索病毒潜在的危害，多地政府部门已紧急发布预警通报，建议关闭设备共享服务，提升密码强度。

多国公共基础设施遭攻击部分航班延误

根据360互联网安全中心的统计，该病毒主要在东欧国家和地区流行，其中俄罗斯和乌克兰受灾最为严重，此外在美国也已发现感染传播情况。

24日，受勒索病毒影响，乌克兰敖德萨国际机场一些航班被推迟，其首都基辅的地铁支付系统也遭遇黑客攻击。

南都记者了解到，此次“坏兔子”勒索病毒首先通过入侵一些俄语系的新闻网站，在这些网站中植入恶意代码，然后伪装成Adobe flash player升级的对话框。一旦用户被诱导点击安装，就会遭到“坏兔子”的勒索。

勒索页面提示，如果在40小时内，中招者不支付0.05比特币（约合人民币1700元）的话，将无法获得解锁的密钥打开电脑里的加密文档，整个磁盘的操作也会被锁定。

此外，“坏兔子”勒索软件还会以感染的设备为跳板，攻击局域网内的其他电脑。通过扫描内网SMB共享，使用弱密码和Mimikatz工具获取登录凭证等手段，感染内网其它主机。

360反病毒专家刘海栗告诉南都记者，从攻击方式上来看，Bad Rabbit和今年5月席卷全球的勒索病毒WannaCry类似，都是能通过破解弱口令的方式实现爆破登录，在局域网中进行横向扩散，从而造成“一台中招、瘫痪一片”的情况。

国内尚无活跃迹象 多地发布紧急预警

不过刘海栗表示，“目前该病毒在国内并无活跃迹象，无需过分恐慌。”

根据国家互联网应急中心消息，截至26日，国内尚未发现规模性感染。目前仅发现极少量IP存在该勒索软件下载以及分发行为，疑似感染地区包括广东、河南、福建与北京。

有专家提醒，尽管“坏兔子”并未利用漏洞进行大规模传播，但不排除后续出现这种可能。

南都记者注意到，由于“坏兔子”病毒潜在危害较高，包括北京、江西等多地政府部门已发布预警通报，警惕类似的Adobe Flash下载更新链接；及时关闭TCP 137、139、445端口；检查内网机器设置，暂时关闭设备共享功能；同时禁用Windows系统下的管理控件WMI服务。

针对国内互联网用户，国家互联网应急中心中心建议：

1）检查系统中是否存在以下三个文件之一，若存在则说明已经感染该勒索软件，请立即清除：
       C:Windowsdispci.exe
       C:Windowsinfpub.dat
       C:Windowscscc.dat
       2）安装并及时更新杀毒软件产品；
       3）及时关闭计算机以及网络设备上的445和139端口；
       4）及时更新系统安全补丁；
       5）关闭不必要的网络共享；
       6）使用强度较高的密码并定期更换，降低系统密码被破解的风险；
       7）不要轻信网站弹窗，请从官方网站或可信渠道下载软件更新；
       8）定期在不同的存储介质上备份计算机上的重要文件。（记者李玲）