1. 聚能聊>
  2. 话题详情

坏兔子勒索病毒来了,你中招了吗

紧急!勒索病毒坏兔子突袭东欧

今年,计算机病毒事件似乎特别多,前有“永恒之蓝” 勒索蠕虫病毒,后有坏兔子(Bad Rabbit)病毒,但是它们都有一个共同点,就是中招者必须支付比特币才能解锁。这也不难猜想为啥前不久国家出台法律限制比特币了,简直就是洗钱啊。
据网络安全公司卡巴斯基实验室(Kaspersky Lab)表示,这次受到坏兔子感染的主要是俄罗斯、乌克兰、土耳其和德国,其中俄罗斯新闻媒体类网站是重灾区。

Fid_215_215_1239649050202896_2f391f403044ead

跟之前的NotPetya勒索病毒功能上有很多相同的代码实现,比如创建任务计划关机重启、通过读取当前用户密码和内置的系统弱口令来遍历局域网内电脑传播,最后加密系统文件后提示通过支付比特币解密。

勒索病毒表现

据分析,勒索病毒样本主要伪装成Adobe Flash Player安装程序,版本为27.0.0.170,甚至还带有数字签名证书,文件编译时间为2017年10月22日,运行主样本后会在系统目录下(通常是C:Windows目录)生成多个文件:infpub.dat、dispci.exe、cscc.dat,其中infpub.dat通过rundll32.exe运行,同时会创建任务计划重启系统,系统重启后运行dispci.exe文件(该文件实际是DiskCryptor加密程序),主样本释放的文件的文件名是固定的,因此在勒索病毒运行早期如果发现进程异常可以直接结束掉。

如何预防与处理

该勒索病毒并非像今年5月12日的wannacry一样利用Windows SMB 0day漏洞传播,但是仍存在较大的安全风险,所以建议用户做一些防护措施。
u_3941095734_2838584956_fm_200_gp_0
笔者这里建议,大家可以从以下几个方面防护:
**1,常备份数据;
2,安装防病毒软件;
3,对操作系统和服务进行加固;
4,配置严格的网络访问控制策略;
5,禁止下载安装非官方软件**

那么问题来了:
1,谈谈为何最近两次病毒的行为都惊人的相似,有什么关联么?
2,你身边有人中招么,你是怎么处理的?
3,对于防护病毒,大家都有什么好的建议,除了上面的之外?

参与话题

奖品区域 活动规则 已 结束

  • 奖品一

    云栖定制电脑包 x 2

  • 奖品二

    云栖定制鼠标垫 x 2

49个回答

1

字温 已获得云栖定制鼠标垫 复制链接去分享

1,谈谈为何最近两次病毒的行为都惊人的相似,有什么关联么?
这两次病毒的共同点是传播范围特别广,传播速度特别快,为什么呢?都是蠕虫类病毒,有自发式疯狂复制和传递的能力。
2,你身边有人中招么,你是怎么处理的?
身边中招的朋友少,但有。开始建议重装系统,没用。后来换了台Mac。
3,对于防护病毒,大家都有什么好的建议,除了上面的之外?
防护病毒,注意关闭不用的端口,如139,445,21,22,23...另外,来路不明的文件(不管什么类型)都别碰,以及不要上那些乱七八糟的网站,比如什么下载站啦,什么资源站啦~

1

雷侠 已获得云栖定制电脑包 复制链接去分享

1,谈谈为何最近两次病毒的行为都惊人的相似,有什么关联么?

中招者必须支付比特币才能解锁,都是虚拟货币的原因。
说白了都是利益驱使者他们,才会一个接着一个的文件加密病毒出现。

2,你身边有人中招么,你是怎么处理的?

没有,一般看到这种新闻,都会提醒一下身边的人,做好安全防护,主要的数据备份好。
如果,没有什么重要的数据,一般都是重装系统。如果有重要的数据,只能通过各大论坛,社区,寻求帮助了。

3,对于防护病毒,大家都有什么好的建议,了上面的之外?

最好能做到一个月备或一个星期份一次数据,主要是做好安全防护措施,养成一个良好的备份习惯,已经良好的上网习惯


更新,多加几条
有以下几种解决方式:
1.检查系统中是否存在以下三个文件之一,若存在则说明已经感染该勒索软件,请立即清除

C:\Windows\dispci.exe
C:\Windows\infpub.dat
C:\Windows\cscc.dat

2.安装并及时更新杀毒软件产品。(例如:McAfree、火绒安全软件、小红伞、ESET NOD 32、Avast。建议下载一个影子系统,防止中毒,就算中毒了,也可以恢复)
3.关闭计算机以及网络设备上的445 和139 端口
4.更新系统安全补丁(能上Window10的就上Window10吧,我个人用的是挺稳定的,而且还安全)
5.关闭不必要的网络共享,因为可以通过局域网传播。
6.不要轻信网站弹窗,请从官方网站或可信渠道下载软件更新。(不要再去寻找你的女神了,说不定哪天你就中招了)
7.重要的文件,做好备份。如果中毒了,你的女神就没有了。

1

夏之冰雪 已获得云栖定制鼠标垫 复制链接去分享

1. 谈谈为何最近两次病毒的行为都惊人的相似,有什么关联么?

都是针对windows操作系统进行的攻击。
因为很多企业和个人的电脑,windows系统没有及时更新,所以才会有这么多人攻击。
这两次攻击,都没有针对具体个人或者某个企业,而是采用广撒网、依靠内网传播等方式,不在乎被攻击的某个电脑是否有价值。而是依靠概率,被攻击的电脑数量多了,总归会有有价值的存在,这样用户只好像黑客拖鞋。
都采用比特币支付,可以更安全、更隐秘,让攻击者的行踪不易被察觉。

所以这类攻击,都属于低风险,高利润的攻击。且只需要提前部署和实施,在攻击过程中,基本不需要多少维护,深受一些黑客喜爱。

这也充分说明了,除了特定的技术人员可能重视计算机安全/网络安全,目前大部分人和企业对于安全的意识还比较薄弱,特别是走进某些国营企业,一台台windows xp的电脑,也充分说明这类攻击未来还会继续存在。

2. 你身边有人中招么,你是怎么处理的?

身边人没有中招,不过家里(小城市)据说有单位中招了,重新装了系统,数据只是一些官网新闻啥的,不值钱,反正没有支付比特币。
我所在的公司么,主要是从防火墙层面做的策略,比如爆发SMB漏洞的时候,直接对外关闭这些端口,然后再做升级。

3. 对于防护病毒,大家都有什么好的建议,除了上面的之外?

  1. 确保补丁更新打开,别一直不更新、不升级。
  2. 对于有价值的数据,最好做双重备份。我觉得对于我比较重要的就是代码,所以会定期更新到本地svn和远端github上面,而且不是手动。是自己写的程序,每天都会运行,然后自动commit、push。
  3. 连接陌生的wifi网络时候,不访问http网站,防火墙打开,减少端口对外。
  4. 自己的电脑,没有用的后台程序,能关就关。
  5. 对于不健康的网站(你们懂得),不要随便访问,随便下载。就算想访问,也访问一些国外比较大的正规的网站。(呵呵)
  6. windows系统有一定的防护呢你,对于一些软件安装,都会弹出警告框,问你是否授权安装。每次点击的时候,三思而后行。
  7. 减少盗版软件的使用。
0

jasno 已获得云栖定制电脑包 复制链接去分享

拦截执行文件: c:windowsinfpub.dat和
c:Windowscscc.dat.
禁用WMI服务

jasno 回复

并做好数据备份,安装安全软件例如:腾讯电脑管家,卡巴斯基等等。中国境内目前还未发现中招

评论
1

暴走的螃蟹 复制链接去分享

1,谈谈为何最近两次病毒的行为都惊人的相似,有什么关联么?
两次传播都这么广,关联应该是肯定有的,就是因为抓住人们不注重更新电脑系统,差不多是端口进入,加秘的算法改进。
2,你身边有人中招么,你是怎么处理的?
我身边有个深圳的学弟中招,无奈付了款就给解开了,不过我听别人说也有没解开的。
3,对于防护病毒,大家都有什么好的建议,除了上面的之外?
我的建议就是及时更新系统,用靠谱的杀毒引擎扫描电脑病毒,关键要把重要文件备份、备份。

暴走的螃蟹 回复

老大要是赏个电脑包的话,我就去买MBP

code_xzh 回复

MBP是什么

评论
2

陈序婷 复制链接去分享

1,谈谈为何最近两次病毒的行为都惊人的相似,有什么关联么?
利益驱动,永恒之蓝让“世界”知道了大多数人的设备防御能力很低。以前的病毒(牟利性)大多数针对企业,而不是大面积传播。原因在于他们认为普通人的设备没有什么利益可以获取,而永恒之蓝否定了这一点。
2,你身边有人中招么,你是怎么处理的?
没有,我在学校周围人从事相关行业的不多。上次永恒之蓝学校的一卡通崩溃很久,不知道有无直接关系。最先知道这个消息是中电云集给发了邮件。个人对自己保有的服务器还是比较自信,首先我用Linux,其次我密码长且复杂(不习惯用密匙,不能随时随地连接,这是个坏习惯。但是个人使用感觉问题不大)
3,对于防护病毒,大家都有什么好的建议,除了上面的之外?
一般来说,阿里云的机器适度更新,设置好安全组、密码设置复杂一些就比较安全了。因为每每有这种事情我们看到阿里云也是及时在推送和提出紧急解决方案。安全我适当调整了一下,觉得这个功能挺好。比如22端口我是封禁了的,因为我写博客一般也用不到,这样对害怕别人猜解SSH密码可以说是一劳永逸。其次阿里云账户也是可以设置二次验证的,目前我也在用。Authy感觉比较方便,这里推荐给大家。

陈序婷 回复

解决方案后面的“安全”→“安全组”手误

评论
1

aoteman675 复制链接去分享

1,谈谈为何最近两次病毒的行为都惊人的相似,有什么关联么?
这两次病毒都可以自发式攻击,只要未受感染的电脑在感染病毒的电脑局域网或者广域网范围内都有可能受到攻击,“永恒之蓝”病毒利用445端口发起攻击,因为都是蠕虫类病毒,所以感染范围广而快。坏兔子病毒和“永恒之蓝”病毒发动攻击后都是加密系统文件和资料文件,并通过支付一定的比特币来解密文件,加密文件的算法特别复杂,“永恒之蓝”感染的文件都无法通过算法破解。
2,你身边有人中招么,你是怎么处理的?
身边中招的朋友基本是Xp和win7系统,因为这两个系统的补丁的文件需手动更新下载,本人一直使用win10系统,更新补丁文件是后台自动更新,所以防御攻击能力较强,个人电脑是win10和Mac,所以没有受到蠕虫病毒攻击。
3,对于防护病毒,大家都有什么好的建议,除了上面的之外?
防护病毒,注意关闭不用的端口,如果有需要可以安装一些防御型杀毒软件,定期自动给系统打补丁,同时关闭21、22、23、135、137、138、139、161、445等端口,80端口建议强制关闭,80端口是http协议默认外网端口,现在通信运营商为了网络安全,都已默认关闭80端口,不去未认证的网站下载资源,来路不明的文件可以放入隔离区打开,定期更新系统补丁相当于更新病毒库,所以养成更新系统的好习惯,才能不中招

1

浮生递归 复制链接去分享

1,谈谈为何最近两次病毒的行为都惊人的相似,有什么关联么?
主要还是比特币的暴涨和交易、安全吧。所以个人还是非常抵制这种东西的,除了炒作、涉黑、洗钱还有什么用呢。

2,你身边有人中招么,你是怎么处理的?
上次有人中招过,上次到单位就不准开电脑,等维护人员把所有问题都处理完了,才准开机。这次这个病毒感觉很Low,直接就没人关注了。影响面还不够大啊,至少连上新闻的能力都没有。恩。。。我是指国内新闻。

3,对于防护病毒,大家都有什么好的建议,除了上面的之外?
养成良好的习惯,才是根本。像我基本都是不装防火墙的。装了也基本不开的那种。平时不做有风险的行为,就不用担心中招。如果要冒险访问一些小站的时候,才开下防火墙。毕竟开防火墙,会让计算机运行速度明显下降。

1

1564109373597046 复制链接去分享

还有那个马勒戈币,纯粹是在骂人吗,却有人还在推行这种b。

1

北方的郎 复制链接去分享

1,谈谈为何最近两次病毒的行为都惊人的相似,有什么关联么?
因为这个Pattern很有效啊。关键还是比特币,因为用比特币,你无法追踪,抓不到幕后的人。
2,你身边有人中招么,你是怎么处理的?
现在还没有,大部分都是IT狗,一般都有一些防护意识。
3,对于防护病毒,大家都有什么好的建议,除了上面的之外?
大兄弟,你已经说的很全了,我顶多就是再关闭几个容易出问题的端口及服务。

1

1852718265501289 复制链接去分享

及时部署补丁,设置好防火墙安全性,中小企业基本不用恐慌。

1

夏殇 复制链接去分享

暂时没发现中招的

1

sqtnbyy 复制链接去分享

1,谈谈为何最近两次病毒的行为都惊人的相似,有什么关联么?
人会有样学样,起了不好榜样。

2,你身边有人中招么,你是怎么处理的?
没有遇到。

3,对于防护病毒,大家都有什么好的建议,除了上面的之外?
乱七八糟的网站勿上,莫名的链接勿点。

0

1809310507356579 复制链接去分享

我觉得吧,可疑的网站最好不要打开,然后呐多注意注意一些其它的端口

0

1252609176304065 复制链接去分享

对于我们这种小百姓来说,中毒了就是重装一下系统٩(๑^o^๑)۶

0

smartchen 复制链接去分享

Mac中照的可能大吗?

0

绿色梦! 复制链接去分享

我不会中招只有那些乱点击的人才中招

0

邺城 复制链接去分享

来来来把兔子烤了吃,听说烤兔子肉,味道美极了。😏

0

无限聆听 复制链接去分享

目的:我觉得应该都是为了炒热虚拟货币;预防的方式肯定是装好一点的杀毒软件,电脑管家,卡巴斯基等,好有就是及时的更新电脑补丁;

0

1317107225343963 复制链接去分享

还冒听斗过

3