侵襲歐洲的新型勒索病毒「壞兔子（Bad Rabbit）」會造成多大危害？該如何應對？

01-02

新型「壞兔子」勒索病毒肆虐歐洲並開始向美國蔓延

據多家國外媒體報道，一種名叫「壞兔子（Bad Rabbit）」的新型勒索病毒從俄羅斯和烏克蘭最先開始發動攻擊，並且在東歐國家蔓延。
已經有交通和基礎設施遭到了「壞兔子」病毒的攻擊並且發出了警報。同時俄羅斯網路安全公司 Group-IB 表示已經有至少 3 家俄羅斯媒體遭到了攻擊。「烏克蘭國家機構和基礎設施是此次攻擊的主要目標，奧德薩機場、基輔地鐵和烏克蘭基礎設施部門都受到了此次大規模網路攻擊的影響。」

據悉，一旦計算機受到這種病毒感染，就會被定向到一個隱蔽網站，同時要求受害者支付 0.05 個比特幣的贖金，大約價值 280 美元。如果受攻擊目標在 40 個小時之內沒有支付贖金，黑客就會不斷提高贖金的數額，同時通過黑色背景紅色文字的顯眼方式不斷進行提醒。

這種新型勒索病毒是什麼？這種攻擊方式與此前的哪些病毒攻擊類似？此次事件將會造成哪些影響？個人、交通和基礎設施被攻擊之後應當如何應對？

感謝 @鹿鯤的邀請。

為避免重複作答，大家可移步騰訊安全聯合實驗室回答過的另一個相似問題：最近在東歐爆發的新型勒索軟體Bad Rabbit是怎麼回事？對國內用戶影響大么？。

謝謝。

據金山毒霸安全實驗室監測數據，目前，這隻Bad Rabbit(壞兔子)勒索病毒並未在中國大陸製造實際感染案例，國內眾多安全廠商對這隻壞兔子已高度警惕。

金山毒霸安全實驗室分析發現，壞兔子病毒傳播者首先偽造一個Adobe Flash Player有安全更新的假消息，用來欺騙目標用戶下載安裝。一旦安裝中毒後，病毒就會加密含以下擴展名的文件：

.3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf.der.dib.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.hpp.hxx.iso.java.jfif.jpe.jpeg.jpg.js.kdbx.key.mail.mdb.msg.nrg.odc.odf.odg.odi.odm.odp.ods.odt.ora.ost.ova.ovf.p12.p7b.p7c.pdf.pem.pfx.php.pmf.png.ppt.pptx.ps1.pst.pvi.py.pyc.pyw.qcow.qcow2.rar.rb.rtf.scm.sln.sql.tar.tib.tif.tiff.vb.vbox.vbs.vcb.vdi.vfd.vhd.vhdx.vmc.vmdk.vmsd.vmtm.vmx.vsdx.vsv.work.xls.xlsx.xml.xvd.zip

和其他勒索病毒不同，該病毒加密破壞後的文檔，並不修改文檔擴展名，故中毒用戶只在病毒彈出索要比特幣的窗口或雙擊打開文檔時才會發現系統已遭破壞。

該病毒還會利用區域網共享服務傳播，如果區域網內用戶較多使用了弱密碼，一旦在內網出現感染，就可能造成較大影響。

壞兔子病毒在區域網中通過猜測以下用戶名來登錄：
Administrator、Admin、Guest、User、User1、user-1 、Test、root、buh、boss、ftp、rdp、rdpuser、rdpadmin、manager、support、work、other user、operator、backup、asus、ftpuser、ftpadmin、nas、nasuser、nasadmin、superuser、netguest、alex
壞兔子病毒在區域網傳播中猜測以下弱口令來登錄：
Administrator、administrator、Guest、guest、User、user、Admin、adminTest、test、root、123、1234、12345、123456、1234567、12345678、123456789、1234567890、Administrator123、administrator123、Guest123、guest123、User123、user123、Admin123、admin123Test123、test123、password、111111、55555、77777、777、qwe、qwe123、qwe321、qwer、qwert、qwerty、qwerty123、zxc、zxc123、zxc321、zxcv、uiop、123321、321、love、secret、sex、 god

和今年五月份暴發的勒索病毒蠕蟲相比，「壞兔子」的傳播能力相對有限，金山毒霸可以攔截。

綜合以上因素，金山毒霸安全實驗室估計「壞兔子」勒索病毒不會在國內造成嚴重破壞，網民只需要及時升級殺毒軟體即可有效防禦。對於企業網管來講，宜限制員工使用弱密碼共享文件。同時，亦可通過軟體限制策略，阻止終端用戶隨意下載安裝軟體，來防範壞兔子這樣的勒索病毒在區域網內傳播。

本機構賬號將持續關注和發布各類安全熱點事件，歡迎大家關注我們哦！

獵豹漁村安全局 - 知乎

想查看更多過往的報告？可以點擊下面哦

我們的知乎文章匯總：點擊查看

我們的微博：漁村安全的微博

我們的微信公眾號：漁村安全

謝邀，朋友公司昨天發布了一份來自北京啟明星辰信息安全的病毒預警報告。

搬運全文如下：

發起壞兔子攻擊的網路罪犯索要0.05比特幣贖金，

根據目前兌換率大約是280美元。

戰鬥民族已經被壞兔子病毒「禍害」

俄羅斯網路安全企業Group-IB公司發推文指出，目前俄羅斯國內至少已經有三家媒體機構遭到文件加密惡意軟體攻擊。

攻擊方式（人話版）

「壞兔子」主要是通過偽裝flash安裝程序，

讓用戶下載運行和暴力枚舉

SMB服務帳號密碼的形式進行傳播，

並未使用「永恆之藍」漏洞進行傳播，

感染形式上和此前的NotPetya勒索病毒相似，

會主動加密受害者的主引導記錄(MBR)。

「壞兔子」在勒索贖金上有所變化，

初始贖金為0.05 比特幣（約280美元），

隨時間的推移會進一步增加贖金。

經過360CERT分析，「壞兔子」事件屬於勒索病毒行為，需要重點關注其傳播途徑和危害：

通過入侵某合法新聞媒體網站，該媒體在烏克蘭，土耳其，保加利亞，俄羅斯均有分網站。在受害者訪問時會被引導安裝一個偽裝的flash安裝程序（文件名為 install_flash_player. exe）

用戶一旦點擊安裝後就會被植入「壞兔子」勒索病毒。

「壞兔子」樣本主要通過提取主機NTLM認證信息和硬編碼部分用戶名密碼，暴力破解NTLM登錄憑據的方式來進一步感染可以觸及的主機。

「壞兔子」會試圖感染目標主機上的以下類型文件和主引導分區，贖金會隨著時間的推移而增長。

目前中國地區基本不受「壞兔子」勒索病毒影響

建議用戶默認開啟防火牆禁用Windows客戶端139, 445埠訪問，如若需要開啟埠建議定期更新微軟補丁。

PS:請保持微笑！

【安全第一快報】趣說「壞兔子勒索病毒」，到底是誰在「搞事情」？

日前，勒索病毒「Ransom/BadRabbit」（壞兔子）在歐洲爆發，並向多個國家蔓延。根據「火絨威脅情報系統」監測，目前還沒有發現國內的用戶被感染。某些媒體報道的被感染事件，並不符合「壞兔子」病毒的特徵。

火絨安全團隊會持續監控病毒疫情，追蹤病毒變種，一旦遇到新情況會立刻處理並知會大家，請廣大用戶不必驚慌。

該病毒通過偽裝Adobe Flash Player 安裝包進行傳播。電腦感染病毒之後，其中文件將被加密，直至用戶支付贖金。

據火絨安全團隊分析，該病毒通過偽裝Adobe Flash Player 安裝包進行傳播。用戶在更新Adobe Flash Player時，會被某些DNS解析器指向病毒鏈接，一旦用戶更新，就會下載並執行帶毒安裝包。感染病毒後，用戶電腦中的文件將被加密，無法正常使用。受害者只有交付0.05個比特幣，約合280美元才能得到密鑰。

截至目前，"Ransom/BadRabbit"（壞兔子）在歐洲多個國家蔓延，其中俄羅斯受迫害最為嚴重。另外烏克蘭、土耳其以及德國等國家也深受其害。勒索病毒爆發後，美國計算機安全應急響應中心（US-CERT）和國外主流媒體（如BBC）均已發出相關報道。

"火絨安全軟體"已於第一時間緊急升級，通過火絨官網下載軟體，升級到最新版本即可防禦、查殺該病毒。火絨安全團隊將持續跟蹤病毒變種，一旦遇到新變種會隨時升級產品，請廣大用戶放心使用。

這幾天烏克蘭的很多官網的確被黑了，但是事實上災情要嚴重得多，只不過不願意讓百姓恐慌罷了；今天午飯後和幾個烏克蘭「阻黑大師」在聊這件事，人家是這麼說的：

「壞兔子」早就已經被「植入」系統了，只不過是現在受到外部的特別加密代碼給「激活了」
這些特別加密代碼的大小不大於1kb，完成了任務就自動刪除，很難發現和截獲；
所有被「激活」的兔子其實不是純粹的激活，而是在升級更新，然後再次「深度隱藏」；
這類攻擊不是為了錢，這種攻擊要有訓練有素的團隊至少150人來操作，一次中等規模的攻擊預算資金至少是500萬美元。

烏克蘭的防禦團隊還暫時無法對應。

謝邀。

病毒的危害我不清楚，畢竟也不是搞網路安全的:）

藉此說說用比特幣進行勒索好了，每次勒索事件都會把比特幣推向風口浪尖，我想這也是題主邀請我回答的原因吧！

其實以前我在節目中也講過，的確，比特幣具有匿名性，一定程度上可以幫助犯罪分子隱藏身份。但我們不妨試想，如果沒有比特幣，網路勒索事件就能不復存在嗎？

事實上，任何一種有價值的貨幣，甚至商品，都存在被犯罪分子利用的情況。美元至今依然是國際毒品、軍火等黑市交易的主要貨幣，黃金、鑽石等投資品也依然是犯罪分子最喜歡的交易媒介，我們不能因此將比特幣視為罪犯的「幫凶」。

在勒索事件中比特幣不小心淪為勒索的工具，就判定它生來就有原罪，其實略荒唐。一直以來，醫院、高校、石油等許多單位的系統僅僅依靠建專網來保護，疏於系統升級和查漏補缺，更不曾主動調整更新，導致在對病毒的抗爭中如紙老虎一樣不堪一擊，最後將罪魁禍首怪罪於比特幣。勒索事件實實在在給了迂腐守舊、盲目拒絕新生事物的人一記響亮的耳光。犯罪行為總是伴隨著科技的發展而發展，我們不應削足適履，阻止科技的發展。再說，目前通過社交網路、法定貨幣等犯罪的紀錄要遠遠高於比特幣，恐怕，該反思的不是比特幣，而是人們對未知的恐懼和拒絕。

在我看來，比特幣唯一的問題，就是正向引導的問題。因為勒索沒有比特幣，還有其它幣，還有無數種洗錢的辦法。那麼，用幣洗錢真的就是匿名嗎？答案是，並不完全匿名。相反，比特幣隱藏的只是用戶信息，實際交易的過程和錢包地址記錄的一清二楚，比一般偽造交易記錄的真實性還要高。萬事俱備，只差用戶信息，這些可以通過查詢登陸IP等多種方式破解，即便用戶可以使用各種方式隱藏他的真實IP，但這些並不是無解的。畢竟在比特幣出現以前，也沒有犯罪分子傻到直接用真實身份信息進行勒索，他們很早就善於偽造身份，偽造IP，但也有無數種破解的辦法。

所以說，我們要做的是挖掘比特幣的真相，去幫助和配合有關部門做好正向的引導，把比特幣對金融、對區塊鏈的借鑒意義發揚光大，讓科技在正確的道路上發光發熱。（快誇我又紅又專哈哈～）

感謝邀請，據我所知壞兔子並未在國內造成大範圍感染。我們也尚未對其進行深入分析，簡單來看應該和前一陣子的Petya有相似的源碼，和WannaCry採用相同的攻擊方法，攻擊者在網站注入URL腳本，下載虛假安裝程序，被感染的主機可以通過服務控制遠程協議在內網中傳播，總結起來都是利用了ms17-010。

各位大神們剖析的很細緻了，源碼所以，說一千、道一萬，懇請各位業主大大換換你那usr123之類的弱口令唄。

瀉藥。

正如報道里說的，Bad Rabbit 已經對俄羅斯和烏克蘭等國家造成了巨大的影響。

但在看完更多的報道之後，我更傾向於 Bad Rabbit 只是個煙霧彈，為的是掩蓋其它更具有攻擊性的行為。畢竟從以往勒索軟體的事件來看，會為解密而支付贖金的人並不多，而且就算支付了贖金攻擊者也未必能夠解密。再從攻擊者的角度來看，我相信有這個技術的人真想要賺錢完全不用以這種形式，國家會花大價錢養起來的。

反過來看，以勒索軟體的形式掩蓋其它行為的可能性就大了，也許是竊取某些重要的數據，也可能是為了醞釀更大規模的、更具有威脅性的攻擊。如果真是這樣，以勒索軟體的形式來掩人耳目還是有點成效的。

至於如何應對，還是那句老話，及時將系統、軟體升級到最新版本，樓上的好像說裝個火絨也可以。至於要是真的有未被發現的攻擊，那也要通過漏洞才能實現，所以那句老話總沒錯。當然 0 day 漏洞除外。

快訊 | 眾多安全公司表示，這次的 Bad Rabbit 或與 NotPetya 有關

病毒本身和其他的電腦病毒並無二致，只是通過比特幣病毒概念可實現作者和相關利益層的兩個目的:

一、隱匿非法收入，比特幣賬戶的匿名性可保障病毒製造者收益。製造病毒也是需要成本的，以傳統的收款方式必然會被追蹤，成本高，風險更高。

二、增加比特幣流量，假如病毒製造者本身擁有大量比特幣或者為持有大量比特幣的人服務。那麼一個全球病毒的轟動性效應勢會大幅提高比特幣的關注度。因為好事不出門,壞事傳千里……

謝邀請，因為最近工作太忙，長時間沒有登錄知乎。再登錄的時候發現各路大神已經對這個問題剖析的非常透徹了。但是作為一名從業10多年的數據恢復工程師來說，我從我的角度進行簡單的分析。因為年我也接觸並處理過多起中勒索病毒後的數據恢復工作，其中有相當一部分也進行了恢復，因為涉及到商業機密，不在這裡貼出來恢復原理了。言歸正傳，壞兔子通過偽裝FLASH更新感染，感染解密可以實現，但不是所有的都可以成功。另外需要知道感染的文件主要是什麼類型的，比如資料庫，文檔，設計圖紙等等。最好的預防方式就複雜密碼以常做備份。現在很多家庭級別或者企業級別的NAS備份都很不錯，並且也不貴。另外說一個題外話，其實在數據恢復行業遇到的更多數據丟失大部分在於存儲介質的故障，這種損壞要遠比病毒破壞的更多。只是病毒集中出現，博取了我們的眼球而已。這是我個人觀點，有寫的不對的請指正。對了，最近在自己搭建一個網站傳播一些關於數據恢復，資料救援的知識以及自己寫的恢復軟體（完全免費版）。有搭建網站比較厲害的朋友可以聯繫我，需要你們的幫助，可以適當付費。

這是一款勒索病毒，在一些網站上傳播，以升級插件等信息作為偽裝，其實是在下載勒索軟體。

瀉藥，外行隔層山。

謝邀，看見大佬瑟瑟發抖。

如何應對? 趕緊買入比特幣對沖被勒索風險!

首先謝謝 @鹿鯤的邀請。

目前對該病毒通已知的是：

是通過偽裝Adobe Flash Player 安裝包進行傳播。用戶在更新 Adobe Flash Player時，會被指向病毒鏈接，某些DNS解析器一旦用戶更新，就會下載並執行帶毒安裝包。感染病毒後，用戶電腦中的文件將被加密，無法正常使用。受害者只有交付0.05個比特幣，約合 280美元才能得到密鑰。

該病毒還會利用區域網共享服務傳播。就是說，如果區域網內用戶較多使用了弱密碼（admin、user、root等），一旦在內網出現感染，就可能造成較大影響！

但值得慶幸的是：國內尚無感染事件發生，所以現在並不用驚慌。各大安全廠商也在積極關注該病毒的後續發展，相信會有相應的解決措施產生。

（順帶一提：這次病毒再次警示人們，這個世道沒有比特幣怎麼行?還不快快挖起來?）

完了！！！！國內現在不能法幣購買比特幣了，被攻擊了咋辦？

新型勒索病毒基本來源腳本病毒傳輸到伺服器和計算機手段進行發送指定IP地址造成計算機和伺服器癱瘓、

就是在你的電腦上鎖住一般還好他不像一些軟體會處理你的電腦文件但如果你時間亟待中抱歉只能跟空氣說

瀉藥。言簡意賅，雖然Bad Rabbit 也是通過SMB進行傳播，但是並沒有利用此前WannaCry的永恆之藍漏洞。有趣的是Bad Rabbit 借鑒了mimikatz(github詳見https://github.com/gentilkiwi/mimikatz.git)的部分機制。不知道是我沒分析出來還是怎麼的，從目前看到的東西，病毒只會在本網段進行掃描和傳播。從爆破的口令和密碼錶來看，感覺有不少人應該修改登錄密碼了。

目前能給出的建議就是，工作機和私人PC，差不多不太需要的服務啊埠啊的就關了吧，把自己主機口令設置的複雜一點，國內好像還沒什麼事兒，但是，以防萬一，還是把重要數據備份了吧。別想著一旦中了勒索軟體，支付贖金就好。現在這個大環境，科學上網，您上得去么？

還在摳樣本的細節，如果有什麼可以吹b的成果，有時間的話會po出來的。