2017-10-25 360企業安全
據網絡消息
“ 10月24日,一款名為“壞兔子”(Bad Rabbit)的勒索軟件在境外發動了大規模網絡攻擊,該病毒的勒索攻擊范圍目前已經蔓延到俄羅斯、烏克蘭、保加利亞、土耳其和德國。受害者包括俄羅斯的國際文傳電訊社、烏克蘭基輔的地鐵系統、烏克蘭敖德薩的國際機場以及烏克蘭的基礎設施部等多家大型機構。該勒索軟件致使歐洲數國電腦系統遭凍結,并已經開始向美國擴散。”
風險等級
360安全監測與響應中心風險評級為:高危
預警等級:藍色預警(一般網絡安全事件)
事件描述
BadRabbit通過水坑攻擊將惡意代碼植入到合法網站,偽裝成Flash升級更新彈窗,誘騙用戶主動下載運行惡意程序;此惡意程序除了加密受害終端的文檔外,還會掃描內網SMB共享,使用弱密碼和Mimikatz工具獲取登錄憑證等手段嘗試登錄和感染內網其他主機。
BadRabbit與Petya/NotPetya勒索軟件有多個地方行為相同:包括使用開源的加密軟件DiskCryptor對文檔用RSA-2048的方式加密,和掃描內網SMB共享然后使用Mimikatz工具獲取登錄憑證嘗試登錄和感染內網其他主機。與Petya/NotPetya勒索軟件不同的是從已知樣本尚未發現通過永恒之藍(EternalBlue)漏洞進行攻擊傳播。
感染此惡意軟件的計算機會將用戶跳轉到.onion Tor域,提示受害者需要支付0.05比特幣的贖金(合275美元)解鎖他們的數據。付款的網架設在Tor網絡中,勒索信息提供支付贖金的流程,限時40小時,否則勒索贖金將會增加。不過支付贖金之后是否可以解密電腦文件尚不清楚。
受害者電腦會顯示如下的告知支付贖金的界面:
感染規模
目前,該病毒的勒索攻擊范圍已經蔓延到俄羅斯、烏克蘭、保加利亞、土耳其和德國,包括俄羅斯的國際文傳電訊社等多家大型媒體、烏克蘭基輔的地鐵系統、烏克蘭敖德薩的國際機場以及烏克蘭的基礎設施部。截至目前國內尚未發現批量性感染。
處置建議
鑒于“壞兔子”勒索病毒攻擊事件已在國外發酵,并有進一步擴散的趨勢,我國互聯網可能受到一定程度的威脅,建議相關部門加強互聯網終端防護措施,安裝殺毒軟件、升級病毒庫,做好網絡安全防護工作。
360安全監測與響應中心不建議感染者支付贖金。首先,支付贖金并不能保證你能拿回自己的數據;其次,也是最重要的一點,拒絕支付贖金會有效阻止勒索病毒攻擊的蔓延。
緊急處理措施
1、備份電腦上的重要文件到本機以外的其他機器上,檢查組織內部的備份機制是否正常運作。
2、電腦安裝防病毒安全軟件,確認規則升級到最新。
3、關閉WMI服務來避免這個惡意軟件通過網絡散播,并阻擋C:\Windows\infpub.dat以及C:\Windows\cscc.dat文檔的執行。
4、關閉不必要的網絡共享。
安全操作提示
1、 不要輕信網站提示彈窗和下載程序,軟件更新通過安全可信渠道進行下載更新。
2、 不要輕易打開包含未經請求的郵件的文件,或點開其中嵌入的鏈接。
3、 使用高強度密碼并定期更換,降低受到惡意軟件感染風險。
外置建議
檢測工具
360天眼產品檢測方案
1、360天眼未知威脅感知系統和NGSOC產品威脅情報庫的更新
360天眼云端已經第一時間發布了該惡意樣本涉及的威脅情報,請將360天眼未知威脅感知系統和NGSOC分析平臺的威脅情報版本升級到最新:201710251527或201710251504。可以開啟“在線升級”,也可以通過導入離線升級包的方式進行“離線升級”。同時,也可以根據公開的威脅情報在分析平臺的日志搜索中進行檢索,對歷史感染情況進行排查。
2、360天眼文件威脅鑒定器(沙箱)的檢測方案
360天眼文件威脅鑒定器(沙箱)在無需升級的情況下即可檢測出此類樣本的可疑行為。請關注文件威脅鑒定器的此類告警,并注意排查。
防護工具
360天堤防火墻產品解決方案
1. 360新一代智慧防火墻(NSG3000/5000/7000/9000系列)和下一代極速防火墻(NSG3500/5500/7500/9500系列)產品系列,已通過更新IPS特征庫完成了對該勒索病毒的防護。建議用戶盡快將IPS特征庫升級至“1710251530”版本并啟用規則ID: 2722進行防護。
2. 同時,360新一代智慧防火墻(NSG3000/5000/7000/9000系列)產品,已更新本地情報庫。用戶也可以通過升級本地情報庫至“1710251500”版本來完成對該勒索病毒的防護。
3. 最后,使用天御云?云鏡服務的用戶,可以通過云鏡“失陷主機”模塊及時發現攻擊是否已發生。
360天擎終端安全管理系統解決方案
1.360天擎終端安全管理系統第一時間響應該病毒,客戶終端直接連接360公有云查殺模式下,無需升級病毒庫即可查殺該病毒。
2. 終端無法連接360公有云查殺模式下,需要先升級控制臺病毒庫版本,終端會自動同步控制臺最新病毒庫。控制臺病毒庫版本號顯示為:2017-10-25。
3. 通過隔離網工具升級控制臺病毒庫版本。
參考文檔
事件詳細信息可以參考如下鏈接:
https://securelist.com/bad-rabbit-ransomware/82851/
https://blog.malwarebytes.com/threat-analysis/2017/10/badrabbit-closer-look-new-version-petyanotpetya/
2017-10-25 360企業安全
據網絡消息
“ 10月24日,一款名為“壞兔子”(Bad Rabbit)的勒索軟件在境外發動了大規模網絡攻擊,該病毒的勒索攻擊范圍目前已經蔓延到俄羅斯、烏克蘭、保加利亞、土耳其和德國。受害者包括俄羅斯的國際文傳電訊社、烏克蘭基輔的地鐵系統、烏克蘭敖德薩的國際機場以及烏克蘭的基礎設施部等多家大型機構。該勒索軟件致使歐洲數國電腦系統遭凍結,并已經開始向美國擴散。”
風險等級
360安全監測與響應中心風險評級為:高危
預警等級:藍色預警(一般網絡安全事件)
事件描述
BadRabbit通過水坑攻擊將惡意代碼植入到合法網站,偽裝成Flash升級更新彈窗,誘騙用戶主動下載運行惡意程序;此惡意程序除了加密受害終端的文檔外,還會掃描內網SMB共享,使用弱密碼和Mimikatz工具獲取登錄憑證等手段嘗試登錄和感染內網其他主機。
BadRabbit與Petya/NotPetya勒索軟件有多個地方行為相同:包括使用開源的加密軟件DiskCryptor對文檔用RSA-2048的方式加密,和掃描內網SMB共享然后使用Mimikatz工具獲取登錄憑證嘗試登錄和感染內網其他主機。與Petya/NotPetya勒索軟件不同的是從已知樣本尚未發現通過永恒之藍(EternalBlue)漏洞進行攻擊傳播。
感染此惡意軟件的計算機會將用戶跳轉到.onion Tor域,提示受害者需要支付0.05比特幣的贖金(合275美元)解鎖他們的數據。付款的網架設在Tor網絡中,勒索信息提供支付贖金的流程,限時40小時,否則勒索贖金將會增加。不過支付贖金之后是否可以解密電腦文件尚不清楚。
受害者電腦會顯示如下的告知支付贖金的界面:
感染規模
目前,該病毒的勒索攻擊范圍已經蔓延到俄羅斯、烏克蘭、保加利亞、土耳其和德國,包括俄羅斯的國際文傳電訊社等多家大型媒體、烏克蘭基輔的地鐵系統、烏克蘭敖德薩的國際機場以及烏克蘭的基礎設施部。截至目前國內尚未發現批量性感染。
處置建議
鑒于“壞兔子”勒索病毒攻擊事件已在國外發酵,并有進一步擴散的趨勢,我國互聯網可能受到一定程度的威脅,建議相關部門加強互聯網終端防護措施,安裝殺毒軟件、升級病毒庫,做好網絡安全防護工作。
360安全監測與響應中心不建議感染者支付贖金。首先,支付贖金并不能保證你能拿回自己的數據;其次,也是最重要的一點,拒絕支付贖金會有效阻止勒索病毒攻擊的蔓延。
緊急處理措施
1、備份電腦上的重要文件到本機以外的其他機器上,檢查組織內部的備份機制是否正常運作。
2、電腦安裝防病毒安全軟件,確認規則升級到最新。
3、關閉WMI服務來避免這個惡意軟件通過網絡散播,并阻擋C:\Windows\infpub.dat以及C:\Windows\cscc.dat文檔的執行。
4、關閉不必要的網絡共享。
安全操作提示
1、 不要輕信網站提示彈窗和下載程序,軟件更新通過安全可信渠道進行下載更新。
2、 不要輕易打開包含未經請求的郵件的文件,或點開其中嵌入的鏈接。
3、 使用高強度密碼并定期更換,降低受到惡意軟件感染風險。
外置建議
檢測工具
360天眼產品檢測方案
1、360天眼未知威脅感知系統和NGSOC產品威脅情報庫的更新
360天眼云端已經第一時間發布了該惡意樣本涉及的威脅情報,請將360天眼未知威脅感知系統和NGSOC分析平臺的威脅情報版本升級到最新:201710251527或201710251504。可以開啟“在線升級”,也可以通過導入離線升級包的方式進行“離線升級”。同時,也可以根據公開的威脅情報在分析平臺的日志搜索中進行檢索,對歷史感染情況進行排查。
2、360天眼文件威脅鑒定器(沙箱)的檢測方案
360天眼文件威脅鑒定器(沙箱)在無需升級的情況下即可檢測出此類樣本的可疑行為。請關注文件威脅鑒定器的此類告警,并注意排查。
防護工具
360天堤防火墻產品解決方案
1. 360新一代智慧防火墻(NSG3000/5000/7000/9000系列)和下一代極速防火墻(NSG3500/5500/7500/9500系列)產品系列,已通過更新IPS特征庫完成了對該勒索病毒的防護。建議用戶盡快將IPS特征庫升級至“1710251530”版本并啟用規則ID: 2722進行防護。
2. 同時,360新一代智慧防火墻(NSG3000/5000/7000/9000系列)產品,已更新本地情報庫。用戶也可以通過升級本地情報庫至“1710251500”版本來完成對該勒索病毒的防護。
3. 最后,使用天御云?云鏡服務的用戶,可以通過云鏡“失陷主機”模塊及時發現攻擊是否已發生。
360天擎終端安全管理系統解決方案
1.360天擎終端安全管理系統第一時間響應該病毒,客戶終端直接連接360公有云查殺模式下,無需升級病毒庫即可查殺該病毒。
2. 終端無法連接360公有云查殺模式下,需要先升級控制臺病毒庫版本,終端會自動同步控制臺最新病毒庫。控制臺病毒庫版本號顯示為:2017-10-25。
3. 通過隔離網工具升級控制臺病毒庫版本。
參考文檔
事件詳細信息可以參考如下鏈接:
https://securelist.com/bad-rabbit-ransomware/82851/
https://blog.malwarebytes.com/threat-analysis/2017/10/badrabbit-closer-look-new-version-petyanotpetya/