摘要：Bad Rabbit的爆发让企业首席信息安全官如临大敌，希望在东欧和俄罗斯发现的这种新型勒索病毒不会成为广泛传播的开始。

     Bad Rabbit的爆发让企业首席信息安全官如临大敌，希望在东欧和俄罗斯发现的这种新型勒索病毒不会成为广泛传播的开始。
　　
　　Bad Rabbi勒索病毒伪装成一个Adobe Flash更新。到目前为止，其感染设备的主要方式是通过驱动器攻击，即访问一个受到感染的的网站，其HTML代码或.js文件已被JavaScript感染。这个勒索病毒在俄罗斯，保加利亚和土耳其传播。受害者被重定向到下载恶意软件的站点。而自从这个勒索病毒袭击被报道之后，这个网站已被删除。显然存活了了六个小时。
　　
　　Palo Alto网络公司和思科系统Talos威胁情报服务公司称，Bad Rabbit勒索病毒通过使用Mimikatz工具收集用户凭据以及使用硬编码凭证，将其传播到网络中。其中包括恶意软件用于测试登录的常见弱密码（god,sex,secret.love,123456,Admin123等）的列表。
　　
　　据Eset公司说，这些受害者包括乌克兰的几个交通组织以及一些政府组织。
　　
　　RiskSense公司的高级安全研究员Sean Dillon说：“这种病毒根本不会传播到北美地区，因为其总体感染率非常低，即使与恶性传播软件相比，BadRabbit病毒无法与任何具有蠕虫能力的恶意软件相比。其初始感染源发生在虚拟的Flash更新中，这是恶意软件的常见错误，而且还是手动过程，转换率通常较低。
　　
　　“虽然Bad Rabbit确实不具有蠕虫功能，但它通过Windows网络使用大多数合法的侧向移动方法进行传播。没有真正的攻击，如Eternal Blue或Eternal Romance，这是在今年早些时候在Not Petya和Wanna Cry勒索病毒蠕虫中观察到的。这些攻击可能没有在这个攻击中使用，因为它们现在是众所周知，并监视攻击向量。”
　　
　　思科系统公司的Talos威胁情报组织的博客表示，Bad Rabbbit勒索病毒似乎与Nyetya有一些相似之处，因为它还基于Petya勒索病毒。代码的主要部分似乎已被重写。这种分配似乎并没有人们最近看到的供应链攻击的复杂性。
　　
　　恶意软件修改受感染系统硬盘驱动器的主引导记录（MBR），将引导过程重定向到恶意软件作者的代码，然后在系统重新启动后会显示赎金记录。
　　
　　Talos表示，这是使用诸如Windows SMB（服务器消息块）之类的辅助传播方法可以传播有效的勒索病毒的另一个例子。“在这个例子中，初始向量并不是一个复杂的供应链攻击。相反，它是一个基本的驱动器下载利用受损网站。这正在迅速成为威胁形式的新常态：威胁迅速蔓延，在短时间内会造成最大的伤害。”
　　
　　Talos补充说，这种威胁也会增加教育任何使用互联网连接设备的人的重要性。“在这次攻击中，用户需要方便初始感染。如果用户不通过安装Flash更新来帮助该过程，那么它将是良性的，而不会破坏整个区域的破坏。一旦用户促成初始感染，恶意软件利用现有的方法（如SMB）在网络上传播而无需用户交互。
　　
　　包括思科，保罗•阿尔托网络，Eset公司在内的几家供应商表示，他们的软件很快就制定了规则，其中包括将发布网站列入黑名单等措施，并防范这种特定的漏洞。
　　
　　目前没有一台已经被感染的机器被修复。Palo Alto Networks公司指出，多因素身份验证（MFA）可以阻止使用有效凭据，这些凭据有可能用于感染网络中的其他系统。。
　　
　　而且，当然，对勒索病毒的最好的防御是异地备份，以及采用新安装程序等措施。
　　
　　编辑：Harris