新型勒索病毒Bad Rabbit攻击乌克兰,俄罗斯等东欧诸国

2017-10-24 16:22:57
Bad Rabbit勒索病毒的传播使用的是水坑攻击。攻击者首先通过入侵一些新闻媒体类网站,随后利用这些新闻类网站发起水坑攻击。当用户浏览这些网站时,用户浏览器就会弹出伪装的Adobe flash player升级的对话框,当用户点击了install按钮后,就会下载Bad Rabbit勒索病毒。
攻击开始时间:

2017-10-24

事件影响:

主要影响俄罗斯,乌克兰等多个东欧国家

IOC(样本Hash/IP/域名等):

样本Hash:
fbbdc39af1139aebba4da004475e8839 install_flash_player.exe
1d724f95c61f1055f0d02c2154bbccd3 infpub.dat(dll)
b14d8faf7f0cbcfad051cefe5f39645f dispci.exe
37945c44a897aa42a66adcab68f560e0 Mimikatz (32-bits)(开源工具)
347ac3b6b791054de3e5720a7144a977 Mimikatz (64-bits)(开源工具)
b4e6d97dafd9224ed9a547d52c26ce02 cscc.dat(开源工具,sys)

C&C servers
http://caforssztxqzf2nm.onion
http://185.149.120.3/scholargoogle/
http://1dnscontrol.com/flash_install.php

url:被挂马的网站
http://argumentiru.com
http://www.fontanka.ru
http://grupovo.bg
http://www.sinematurk.com
http://www.aica.co.jp
http://spbvoditel.ru
http://argumenti.ru
http://www.mediaport.ua
http://blog.fontanka.ru
http://an-crimea.ru
http://www.t.ks.ua
http://most-dnepr.info
http://osvitaportal.com.ua
http://www.otbrana.com
http://calendar.fontanka.ru
http://www.grupovo.bg
http://www.pensionhotel.cz
http://www.online812.ru
http://www.imer.ro
http://novayagazeta.spb.ru
http://i24.com.ua
http://bg.pensionhotel.com
http://ankerch-crimea.ru

应急方案:
不要随意运行不认识的程序,并通过官方或者可信渠道下载软件升级程序。遇到陌生的文件,可以使用腾讯哈勃分析系统(https://habo.qq.com/)对文件进行安全性检测。
事件描述:

Bad Rabbit勒索病毒的传播使用的是水坑攻击。攻击者首先通过入侵一些新闻媒体类网站,随后利用这些新闻类网站发起水坑攻击。当用户浏览这些网站时,用户浏览器就会弹出伪装的Adobe flash player升级的对话框,当用户点击了install按钮后,就会下载Bad Rabbit勒索病毒。目前乌克兰的一些交通组织以及一些政府组织遭受了网络攻击,导致一些计算机文件被加密勒索。已经证实的受害公司包括基辅地铁,敖德萨机场在内的一些乌克兰公司及一些俄罗斯公司。

最新资讯