2017年10月24日，一種新型勒索軟件“壞兔子(Bad Rabbit)”在歐洲爆發(fā)，影響超過(guò)200多個(gè)政府機(jī)構(gòu)和私營(yíng)企業(yè)，截至發(fā)稿時(shí)，俄羅斯、保加利亞和土耳其均遭受攻擊，已證實(shí)的受害者包括烏克蘭敖德薩機(jī)場(chǎng)、烏克蘭基輔地鐵系統(tǒng)、烏克蘭基礎(chǔ)設(shè)施部、三個(gè)俄羅斯新聞機(jī)構(gòu)(包括Interfax和Fontanka在內(nèi))。目前，瑞星云安全系統(tǒng)暫未在國(guó)內(nèi)監(jiān)測(cè)到該病毒大面積擴(kuò)散。

　　此次“壞兔子(Bad Rabbit)”勒索軟件與今年5、6月份爆發(fā)的“永恒之藍(lán) (WannaCry)”和彼佳(Petya)攻擊類似。通過(guò)誘騙下載“Flash”的方式進(jìn)行傳播，當(dāng)用戶點(diǎn)擊病毒通知消息時(shí)，它就會(huì)下載一個(gè)名為install_flash_player.exe的病毒文件。

　　圖：病毒偽裝flash文件

　　瑞星安全研究人員介紹，一旦“壞兔子”執(zhí)行完任務(wù)，它就會(huì)重啟用戶電腦，并留下自定義的MBR勒索留言。勒索留言要求受害者訪問(wèn)Tor網(wǎng)絡(luò)上的一個(gè)站點(diǎn)并支付0.05比特幣(約折合280美元)，而且受害者只有40多個(gè)小時(shí)的支付時(shí)間，否則勒索金就會(huì)上漲。目前，瑞星所有企業(yè)級(jí)產(chǎn)品與個(gè)人級(jí)產(chǎn)品均可對(duì)其進(jìn)行攔截并查殺，希望廣大瑞星用戶將瑞星產(chǎn)品更新到最新版本并及時(shí)更新操作系統(tǒng)補(bǔ)丁。

　　“壞兔子(Bad Rabbit)”病毒分析報(bào)告

　　病毒偽裝為adobe公司的flash程序圖標(biāo)

　　圖：偽裝flash

　　但是數(shù)字簽名卻偽裝為賽門(mén)鐵克公司

　　圖：偽裝數(shù)字簽名

　　運(yùn)行之后釋放infpub.dat并啟動(dòng)

　　圖：釋放并啟動(dòng)infpub.dat

　　infpub.dat是一個(gè)DLL ，運(yùn)行之后會(huì)釋放 加密程序dispci.exe和加密驅(qū)動(dòng)cscc.dat

　　其中cscc.dat是利用正規(guī)軟件DiskCryptor中驅(qū)動(dòng)dcrypt.sys 重命名而來(lái)。

　　并且展開(kāi)橫向移動(dòng)傳播，攻擊局域網(wǎng)中的其它機(jī)器，保存的弱口令賬號(hào)密碼如下

　　圖：局域網(wǎng)橫向傳播用到的弱口令

　　局域網(wǎng)傳播

　　圖：局域網(wǎng)傳播

　　硬編碼的RSA密鑰

　　圖：RSA密鑰

　　加密的文件類型如下

　　圖：加密文件類型

　　和驅(qū)動(dòng)通信，加密文件

　　圖：加密文件

　　和驅(qū)動(dòng)通信，替換MBR

　　圖：替換MBR

　　勒索信的內(nèi)容，要求受害者訪問(wèn)暗網(wǎng)的一個(gè)網(wǎng)站，支付贖金

　　圖：勒索信息

　　被加密文件的后綴名并沒(méi)有變化，但是末尾有加密標(biāo)志encrypted

　　圖：被加密文件

　　此外還創(chuàng)建了兩個(gè)計(jì)劃任務(wù)

　　C:\WINDOWS\system32\cmd.exe /C Start "" "C:\Windows\dispci.exe" -id 3785784582 && exit

　　C:\WINDOWS\system32\shutdown.exe /r /t 0 /f

　　圖：計(jì)劃任務(wù)

　　IOC威脅指標(biāo)

　　MD5：

　　fbbdc39af1139aebba4da004475e8839 install_flash_player.exe

　　1d724f95c61f1055f0d02c2154bbccd3 infpub.dat

　　b14d8faf7f0cbcfad051cefe5f39645f dispci.exe

　　正規(guī)軟件DiskCryptor中驅(qū)動(dòng)dcrypt.sys 被重命名為cscc.dat

　　b4e6d97dafd9224ed9a547d52c26ce02 cscc.dat (x86)

　　edb72f4a46c39452d1a5414f7d26454a cscc.dat (x64)