近日一种新型勒索病毒“Bad Rabbit”简称“坏兔子”在欧洲部分地区爆发,俄罗斯、乌克兰、土耳其、德国受到影响。该病毒伪装成Adobe flash player(视频播放插件)欺骗用户安装,感染后会在局域网内扩散。这次的勒索软件与 Nyetya 有着异曲同工之妙,也是以 Petya 勒索软件为基础,但是对大部分代码进行了改写。
当用户访问被入侵的网站时,系统会重定向1dnscontrol[.]com 这一托管该恶意文件的网站。在下载实际的恶意文件之前,攻击者会向静态 IP 地址 (185.149.120[.]3) 发送一个 POST 请求。我们发现该请求发布到了 “/scholasgoogle” 静态路径,并向用户提供代理、引用站点、Cookie 和域名。在发布 POST 请求之后,系统从 1dnscontrol[.]com 的两个不同路径 /index.php 和 /flash_install.php 下载了植入程序。尽管使用了两个路径,但却只下载了一个文件。根据当前信息,在服务器 1dnscontrol[.]com 被入侵之前,该恶意软件似乎已经活动了大约六小时,目前该病毒在国内并无活跃迹像。
对此腾讯及360、金山等……专家表示,对于新型勒索病毒,大家无需惊慌,腾讯电脑管家及360安全卫士,金山毒霸等安全软件已可拦截该病毒。同时移动、联通、电信等三大通讯运营商已向手机用户推送了关于防范“Bad Rabbit”(坏兔子)的短信通知,并提示企业和个人检查内网打开共享的机器,进行暂时关闭;并更换复杂的密码等措施以便于防范该病毒感染。
友情广告