兔子 病毒,兔子病毒感染
17年对于windows操作系统来说真是多灾多难的一年。先是5月的WannaCry勒索病毒,6月的ExPetr勒索病毒,本月又出现了新版勒索病毒“坏兔子”。
俄罗斯、乌克兰等国24日遭到新一轮勒索软件攻击。乌克兰敖德萨机场、首都基辅地铁支付系统、俄罗斯三家媒体中招,德国、土耳其、日本等国随后也发现了该病毒。这种名为“坏兔子”的新型勒索软件使用加密系统来防止网络安全专家破解恶意代码。它与6月底爆发的“NotPetya”病毒有类似的传播方式。
该勒索病毒通过伪造Flash更新传播:
金山毒霸安全实验室分析发现,坏兔子病毒传播者首先伪造了Adobe Flash Player有安全更新的虚假消息,用来欺骗目标用户下载安装。
中毒后,病毒会对文件进行加密,加密文件的类型都是适合的,如下图所示:
这时“坏兔子”会给受害者提供一张“勒索纸条”,文件就不能再用了。"没有我们的解密服务,没人能恢复它."
勒索页面:图片来自ESET公司。
与其他勒索病毒不同的是,这种病毒对受损文档进行加密,不修改文件扩展名,因此中毒用户只会在病毒弹出要求输入比特币的窗口或双击打开文档时,才发现系统已经受损。
受害者会看到一个带有倒计时的支付页面。他们被告知,在最初的40个小时里,支付解密文件的费用是0.05比特币——,约合285美元。这个时候就会有定时炸弹装置,时间到了之后解密成本就会上升。
支付倒计时页面来源:卡巴斯基实验室
该病毒还会通过使用局域网共享服务传播。如果局域网内的用户使用弱密码,一旦内网发生感染,可能会造成很大的影响。
防范方法:
谨防Adobe Flash Player更新的假新闻,及时升级杀毒软件的同时注意以下几点:
第一,警惕下载更新类似Adobe Flash的链接;
第二,及时关闭TCP端口137、139、445;
第三,检查内网机器设置,暂时关闭设备共享功能;
第四,禁用Windows系统下管理控制的WMI服务。
以上是本月新勒索病毒的信息。希望大家做好防范。如果弹出Flash Player更新,不要点击安装!