2017年10月24日,一種新型勒索軟件“壞兔子(Bad Rabbit)”在歐洲爆發(fā),影響超過(guò)200多個(gè)政府機(jī)構(gòu)和私營(yíng)企業(yè),截至發(fā)稿時(shí),俄羅斯、保加利亞和土耳其均遭受攻擊,已證實(shí)的受害者包括烏克蘭敖德薩機(jī)場(chǎng)、烏克蘭基輔地鐵系統(tǒng)、烏克蘭基礎(chǔ)設(shè)施部、三個(gè)俄羅斯新聞機(jī)構(gòu)(包括Interfax和Fontanka在內(nèi))。目前,瑞星云安全系統(tǒng)暫未在國(guó)內(nèi)監(jiān)測(cè)到該病毒大面積擴(kuò)散。

此次“壞兔子(Bad Rabbit)”勒索軟件與今年5、6月份爆發(fā)的“永恒之藍(lán) (WannaCry)”和彼佳(Petya)攻擊類似。通過(guò)誘騙下載“Flash”的方式進(jìn)行傳播,當(dāng)用戶點(diǎn)擊病毒通知消息時(shí),它就會(huì)下載一個(gè)名為install_flash_player.exe的病毒文件。

圖:病毒偽裝flash文件
瑞星安全研究人員介紹,一旦“壞兔子”執(zhí)行完任務(wù),它就會(huì)重啟用戶電腦,并留下自定義的MBR勒索留言。勒索留言要求受害者訪問(wèn)Tor網(wǎng)絡(luò)上的一個(gè)站點(diǎn)并支付0.05比特幣(約折合280美元),而且受害者只有40多個(gè)小時(shí)的支付時(shí)間,否則勒索金就會(huì)上漲。目前,瑞星所有企業(yè)級(jí)產(chǎn)品與個(gè)人級(jí)產(chǎn)品均可對(duì)其進(jìn)行攔截并查殺,希望廣大瑞星用戶將瑞星產(chǎn)品更新到最新版本并及時(shí)更新操作系統(tǒng)補(bǔ)丁。

“壞兔子(Bad Rabbit)”病毒分析報(bào)告
病毒偽裝為adobe公司的flash程序圖標(biāo)

圖:偽裝flash
但是數(shù)字簽名卻偽裝為賽門(mén)鐵克公司

圖:偽裝數(shù)字簽名
運(yùn)行之后釋放infpub.dat并啟動(dòng)

圖:釋放并啟動(dòng)infpub.dat
infpub.dat是一個(gè)DLL ,運(yùn)行之后會(huì)釋放 加密程序dispci.exe和加密驅(qū)動(dòng)cscc.dat
其中cscc.dat是利用正規(guī)軟件DiskCryptor中驅(qū)動(dòng)dcrypt.sys 重命名而來(lái)。
并且展開(kāi)橫向移動(dòng)傳播,攻擊局域網(wǎng)中的其它機(jī)器,保存的弱口令賬號(hào)密碼如下





圖:局域網(wǎng)橫向傳播用到的弱口令
局域網(wǎng)傳播

圖:局域網(wǎng)傳播
硬編碼的RSA密鑰

圖:RSA密鑰
加密的文件類型如下

圖:加密文件類型
和驅(qū)動(dòng)通信,加密文件

圖:加密文件
和驅(qū)動(dòng)通信,替換MBR

圖:替換MBR
勒索信的內(nèi)容,要求受害者訪問(wèn)暗網(wǎng)的一個(gè)網(wǎng)站,支付贖金

圖:勒索信息
被加密文件的后綴名并沒(méi)有變化,但是末尾有加密標(biāo)志encrypted

圖:被加密文件
此外還創(chuàng)建了兩個(gè)計(jì)劃任務(wù)
C:\WINDOWS\system32\cmd.exe /C Start "" "C:\Windows\dispci.exe" -id 3785784582 && exit
C:\WINDOWS\system32\shutdown.exe /r /t 0 /f

圖:計(jì)劃任務(wù)
IOC威脅指標(biāo)
MD5:
fbbdc39af1139aebba4da004475e8839 install_flash_player.exe
1d724f95c61f1055f0d02c2154bbccd3 infpub.dat
b14d8faf7f0cbcfad051cefe5f39645f dispci.exe
正規(guī)軟件DiskCryptor中驅(qū)動(dòng)dcrypt.sys 被重命名為cscc.dat
b4e6d97dafd9224ed9a547d52c26ce02 cscc.dat (x86)
edb72f4a46c39452d1a5414f7d26454a cscc.dat (x64)
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請(qǐng)謹(jǐn)慎對(duì)待。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)。
海報(bào)生成中...
海藝AI的模型系統(tǒng)在國(guó)際市場(chǎng)上廣受好評(píng),目前站內(nèi)累計(jì)模型數(shù)超過(guò)80萬(wàn)個(gè),涵蓋寫(xiě)實(shí)、二次元、插畫(huà)、設(shè)計(jì)、攝影、風(fēng)格化圖像等多類型應(yīng)用場(chǎng)景,基本覆蓋所有主流創(chuàng)作風(fēng)格。
9月9日,國(guó)際權(quán)威市場(chǎng)調(diào)研機(jī)構(gòu)英富曼(Omdia)發(fā)布了《中國(guó)AI云市場(chǎng),1H25》報(bào)告。中國(guó)AI云市場(chǎng)阿里云占比8%位列第一。
9月24日,華為坤靈召開(kāi)“智能體驗(yàn),一屏到位”華為IdeaHub千行百業(yè)體驗(yàn)官計(jì)劃發(fā)布會(huì)。
IDC今日發(fā)布的《全球智能家居清潔機(jī)器人設(shè)備市場(chǎng)季度跟蹤報(bào)告,2025年第二季度》顯示,上半年全球智能家居清潔機(jī)器人市場(chǎng)出貨1,2萬(wàn)臺(tái),同比增長(zhǎng)33%,顯示出品類強(qiáng)勁的市場(chǎng)需求。