BadRabbit勒索软件攻击多个媒体 - 新闻动态 - 新闻资讯 - 菲达国际电子有限公司

菲达国际主管QQ:342950666

BadRabbit勒索软件攻击多个媒体

2019-05-17 菲达国际

欢迎拜访菲达国际登录网址:www.tianchengylshop.com,周二,俄罗斯媒体安排Interfax在一份声明中称,因为病毒突击,他们的服务器处于脱机状态。新闻安排将他们的报道作业转移到Facebook,一同他们尽力康复。


不久之后,俄罗斯安全公司Group-IB发布了勒索软件的截图,称其为BadRabbit。 Group-IB标明至少有三家俄罗斯媒体遭到侵犯,但只要国际文传电讯公司才得到供认。 Group-IB不会指出任何其他受害者。

依据BadRabbit受害者的登陆页面,依据其时的比特币汇率,解密本钱(赎金需求)约为283美元。


这个故事正在展开中,其他更新将在下面发布。


BadRabbit的知名度:

它的自我传达很或许通过假的Flash更新传达。 ESET标明,虚伪更新来自对热门域名的水坑侵犯。


它是一个曾经不知道的勒索软件系列,但它的确与Petya同享一些代码,因此它是该勒索软件系列的一个变种。剖析闪现,BadRabbit与Petya同享其代码的13%,但要害加密功能由合法加密东西(DiskCryptor)处理。


依据ESET在本次更新发布时供应的数据,今天65%的受害者在俄罗斯,其次是乌克兰(12.2%),保加利亚(10.2%),土耳其(6.4%)和日本(3.8) %)。


“幽默的是,全部这些大公司都在同一时间被击中。有或许该集团现已进入他们的网络,并在诱饵的一同发起了水坑侵犯。没有什么说他们蜕化了“Flash更新”.ESET仍在查询,我们会在发现它们时发布我们的发现,“ESET更新解释道。


卡巴斯基提到目前为止有大约“200个政策”,但是没有读到“政策”这个词的用法,因为没有任何迹象标明受害者是直接侵犯政策。相同,没有任何迹象标明今天的侵犯是由国家赞助的。


检测BadRabbit并避免它的提示:

卡巴斯基建议阻挠执行以下文件:


C:\ WINDOWS \ infpub.dat

C:\ WINDOWS \ cscc.dat


另一个过程是禁用WMI服务(假设或许),这将约束恶意软件的传达。本文前面提到的Kevin Beaumont也建议阻挠入站SMB,在Windows中运用Credential Guard,监督计划任务和服务创建,以及控制给定网络上的处理员数量。


在Pastebin上Christiaan Beek为那些需求它的人上传了一个Yara规矩。


罗伊斯·威廉姆斯(Royce Williams)创建了一份包括链接和信息的生动文档。


Microsoft还发布了针对处理员的指南,包括在工作日志中监督ID 1102和106的注释,标明审阅日志已被铲除,以及与BadRabbit相关的计划任务(称谓取自权利的游戏)已创建。


更新:10/24/17 11:35 am.m.

依据ESET研讨员的说法,BadRabbit正在通过编造的Flash更新进行传达,并采用了Mimikatz,这是一种开源的后期开发东西,可帮忙侵犯者在计算机或网络上获得更好的立足点。此外,该帖子将其与Petya宗族的勒索软件联系起来。


今天上午早些时候,CERT-UA(乌克兰)提示大众,该国的信息资源或许会开端新一轮的网络侵犯。目前尚不清楚该警告是否与BadRabbit有关,但是敖德萨机场和基辅地铁的咨询工作依然存在。


10月13日,CERT-UA警告大众或许的勒索软件侵犯利用Petya-A的变种,这是上一年6月全球范围内担任大规模感染的恶意软件。


更新:10/24/17 11:45。

依据已提交给VirusTotal的样本,包括ESET,卡巴斯基,赛门铁克,Check Point和Palo Alto Networks在内的多家安全厂商正在以某种方式检测BadRabbit。跟着时间的推移,估量检测次数会添加。此外,听说Windows Defender正在符号恶意软件的一部分。


更新:10/24/17 11:57 a.m.

据ESET的研讨人员称,除遭到影响的媒体安排外,BadRabbit还针对乌克兰的几个运送和政府安排。


正如先前由CERT-UA报道的,Keib Metro,敖德萨机场遭到感染。此外,乌克兰的基础设施和财政部也成为侵犯政策。公共消息来历还标明,俄罗斯的一些安排遭到了影响。

BadRabbit勒索软件攻击多个媒体

ESET还重申BadRabbit是Petya的变体。 Mimikatz的用法是从受影响的系统中提取凭证。在Twitter上,ESET Nederland的董事总经理Dave Maasland标明,恶意软件正在运用Eternal Blue漏洞进行传达。但是,永久之蓝的侦探或许是误报。


依据他们的遥测数据,乌克兰和俄罗斯以及土耳其,保加利亚和其他国家的恶意软件现已稀有百次点击。


下午12:25更新10/24/17

迈克菲研讨员发布了BadRabbit所针对的文件类型列表,其间包括全部常见的嫌疑人,包括Office格式和存档格式。完好列表由迈克菲首席科学家兼首席工程师Christiaan Beek发布。


还发布了对侵犯中调查到的flash_install.php的剖析(这是在上传时运用PHP文件名的可执行文件)。此外,现已供认勒索软件运用合法东西(DiskCryptor)来加密受害者的硬盘。 (图片来历:@IstaPee)


提到凭证,BadRabbit正在运用常见的硬编码凭证列表,包括:处理员,访客,用户,老板,root,支撑,rdpadmin,作业,备份,nas,nasuser,nasadmin,netguest等。(诺言: Maarten van Dantzig)


在ANY.RUN上也供应了BadRabbit侵犯的完好视频,它供应了实时恶意软件剖析。 (帽子提示:Kevin Beaumont a.k.a. @GossiTheDog)


卡巴斯基实验室陈述了许多与ESET相同的感染地址,但德国也被列入名单。


更新时间:10/24/17 04:25

US-CERT已发布BadRabbit咨询,提示处理员检查挟制咨询TA17-132A和TA17-181A。虽然清楚明了,US-CERT现已敦促受害者不要付出任何赎金。问题是,有些人会付钱,因为他们短少适当的备份,或许更糟糕的是他们的备份没有得到妥善处理,并且他们也加密了


ESET和卡巴斯基继续向大众介绍BadRabbit的状态,其他专家一直在深化研讨技术细节,共享缓解和查询策略。在Twitter之外,专家们还将恶意软件的技术细节发布到公共收集点,例如Alien Vault的Threat Exchange。


在某种程度上相关的阐明中,一些处理员现已表达了寻求像BadRabbit这样的勒索软件感染担任人的愿望。这是一种预期的心境,特别是考虑到新闻中的全部'黑客'说话。


问题是,运用勒索软件,鉴于商场中存在的担任勒索软件的全部层,很难盯梢感染源。但是假设你对最近关于黑客侵犯主题的最新展开感兴趣,CSO的Fahmida Rashid最近发布了一个运用诈骗技术的法则黑客侵犯选项的故事。


更新:10/24/17 8:45

安全供货商Avast已在Twitter上标明,BadRabbit感染已蔓延至美国,但该公司无法供应任何其他详细信息或信息,或许是因为时区差异。当被问到时,迈克菲的首席科学家兼首席工程师Christiaan Beek说,他的公司没有看到任何美国感染,并补偿说“让我们坚持这种状态。”


此外,一些新闻媒体和安全供货商已将前面提到的US-CERT通报称为支撑BadRabbit在美国感染系统的证据。不是这种情况。全部的建议都宣告BadRabbit是实在的,并鼓舞处理员阅读之前发布的与Petya和WannaCry相关的挟制建议。


迈克菲[1]和思科的Talos [2]现已在BadRabbit上发布了博客。虽然它们不包括新的信息,但它们是恶意软件本身的幽默技术潜水,假设您重视各方面的展开,那么值得一读。 Cybereason的安全研讨员Amit Serper发布了一篇博文,详细介绍了BadRabbit所谓的疫苗。


卡巴斯基的研讨人员供应了一些新信息。在Twitter上,Costin Raiu标明BadRabbit背面的演员自2017年7月以来一直在建立他们的感染网络,列出了许多域名。卡巴斯基的恶意软件剖析师安东·伊万诺夫(Anton Ivanov)在Twitter上发布了一些图片,上面闪现BadRabbit不是雨刮器,实践解密正在进行中。


俄罗斯安全公司Group-IB初次向国际通报了BadRabbit的存在,并于今晚发布了新的信息。在一篇博文中,Group-IB发布了担任周二突击的演员的比特币钱包地址。在编写此更新时,任何一个钱包都没有买卖。


其他细节包括BadRabbit用于收集赎金付出的至少部分登陆网站最近在10月19日更新。依据额定的检查,Group-IB找到了Salted Hash所做的同一组域名,并推测演员担任周二的混乱运用防弹主机。


最后,Group-IB建议在BadRabbit和Black Energy活动之间建立联系。


更新:10/25/17 12:35 pm

阿瓦斯特周二标明,他们现已在美国发现了BadRabbit,但是,关于这意味着什么并没有太多的弄清。


在撰写此更新时,McAfee,Bitdefender和Avira在谈到美国感染问题时都说不了。卡巴斯基提到他们现有的博客(没有提到美国感染),ESET说他们在美国没有感染。


在他们的帖子中,阿瓦斯特说:“虽然美国和其他中欧和东欧国家,包括波兰和罗马尼亚也遭到影响,但这些国家(包括美国)的遭遇数量远低于我们在俄罗斯调查到的数量。但是,在撰写本文时,我们计算出每个区域的检测率仅为百分之一或更低。“


但是,在发布他们的博客后,Avast弄清了他们对Salted Hash的议论。他们陈述的是检验,而不是实践的感染。


该公司在一份声明中标明,“供应的百分比是针对阻挠的检验”。


Check Point还陈述称在美国检测到BadRabbit(诺言:Chris Bing,CyberScoopNews)


但是,Yanpoint Balmas的Check Point恶意软件研讨团队担任人标明,这些检测来自挟制仿真设备上的日志。关于那些不知道的人,这些设备充当沙箱,并通过仿照通过电子邮件或网络发送给他们的文件来维护Check Point客户。


“我们看到来自这些设备的日志意味着Bad Rabbit文件存在于我们的几个美国客户网络中,”Balmas说。


因此,假设BadRabbit文件坐落沙箱中,那么我们再一次讨论检测,而不是感染 - 这是Check Point向Salted Hash证明的调查效果。


这是一件功德,但它不是忽视这个问题的托言。全国际处理员的运行建议依然存在:检查备份;供认他们正在运行和其时;现在测试它们。定期这样做。

拜访菲达国际网址:www.tianchengylshop.com,获取更多IT前沿的资讯。