在卫生和4个月后五个月后,在不受约束的全球袭击之后,据报道,一个新的变体被称为Bad Rabbit近200个目标,包括媒体组织,机场和地下铁路。
迄今为止迄今为止的大多数攻击,俄罗斯报告,糟糕的兔子正在加密计算机并要求0.05比特币,相当于210英镑或277美元,提高了对第三个全球赎制软件攻击的担忧。
根据安全公司ESET的说法,正如劫持Medoc乌克兰会计软件的更新机制,似乎通过虚假Adobe Flash更新似乎蔓延的差点。
俄罗斯安全公司卡巴斯基实验室报告说,攻击不使用漏洞,但是一个逐攻击,意味着受害者从受感染的网站下载一个假的Adobe Flash安装程序并手动启动.exe文件,感染自己。
卡巴斯基实验室说,卡巴斯基实验室的糟糕兔似乎是针对企业网络的有针对性的攻击。
像Wannacry和Notpetya一样,坏兔似乎主要旨在造成中断,并据报道,使用Microsoft Windows Server消息块(SMB)协议,但以不同的方式使用与在NotPetyA代码中的算法非常相似。
然而,据艾伦·丽西克萨(Reader)建筑师在录制的未来的统一解决方案建筑师的说法,Bad Rabbit不使用EternalBlue Exproit。
“它相反,它依赖于本地密码转储以及常见密码列表,以尝试从一台机器移动到另一台计算机,试图通过网络传播,”他说。
丽思他说,不好的兔子代码比我们用Wannacry和Notpetya所看到的更精致更精致。“它似乎已经过得很好,但它很依赖很多命令行脚本。Bad Rabbit使用传统的付款门户为赎金而不是要求受害者发送电子邮件,“他说。
根据FORBES,攻击者还使用WebDAV的漏洞,Web分布式创作和版本控制到超文本传输协议(HTTP),该协议允许在网络上进行协作编辑。
安全公司ESET表示,NotpetyA使用的Mimikatz工具是由Bad Rabbit使用的,以窃取受影响系统的密码,以允许攻击者围绕受害者移动。
然而,卡巴斯基实验室表示,它无法确认坏兔子是否与不受约束有关,并正在进行调查。安全公司表示,它仍然不清楚是否可以通过支付赎金或使用赎金软件代码中的一些故障来获取由坏兔子加密的文件。
支付网站上的倒计时显示了赎金价格上涨前的时间,但卡巴斯基实验室和其他评论员都在向偿还赎金提出建议,因为没有保证加密数据将被恢复。
受影响的组织包括乌克兰的敖德萨国际机场,报告称其信息系统已停止运作,俄罗斯互联网通讯社是圣彼得堡,基辅地铁服务和乌克兰金融和基础设施部门的Fontanka新闻网站。
Cyber ay Reseacheramit Serpercliums开发了一种疫苗,以防止来自感染机器的坏兔恶意软件。
Serper和同事Mike IacovAckisuggest采取以下措施,以防止受到Bad Rabbit感染的措施:
首先,创建这两个文件:c:/windows/infpub.dat和c:/windows/cscc.dat作为admin,键入以下命令:echo“”> c:/windows/cscc.dat&&&echo “> c:/windows/infpub.dat接下来,通过右键单击每个文件并选择属性,从而删除所有权限,然后选择”安全“选项卡。现在单击“高级”,在“权限”选项卡上,单击“更改权限”按钮。然后,取消选中“包括此对象父母的可继承权限”框。执行此操作后,将弹出一个窗口。单击“删除”按钮。请记住为您创建的两个文件执行此操作。如果您正在运行Windows 10,请重复相同的步骤,而不是取消选中继承框,单击“禁用继承按钮”,然后选择“删除此对象的所有继承权限”。
Carl Leonard是Presspoint的主要分析师表示,自2017年6月6月份的Notpetya网络攻击自2017年6月以来,令人痛苦的兔子袭击似乎是最大的袭击之一,它首先击中乌克兰并传播世界各地。
“在2016年10月,强制安全实验室警告了弗里曼报告中自动化软件更新机制正在通过自动化软件更新机制提供的危险的危险。”
“我们将继续看到经济,员工和公共安全的巨大攻击。这些方法将继续发展,包括隐藏其活动以及他们的真实意图的撤销方法。
“诀窍是更好地了解这些袭击中的人类观点。攻击者的意图或动机可以广泛地包括财务收益,复仇,政治或言声。了解这些意图可以帮助塑造我们的安全策略。
“但是了解我们称之为”用户“的人类要素更为重要。它们如何与互联网进行互动,以及各种应用程序?他们需要哪些特权,以及如何使用他们拥有的特权?
“这是研究人员如何预测威胁景观中的未来变化的关键部分。了解您的组织的“人类观点”可以产生更有效的安全策略,“他说。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。