一种名为“BadRabbit”的新型勒索软件正在俄罗斯、乌克兰和其他东欧国家蔓延,攻击包括机场、铁路运输和媒体机构在内的企业网络。

受BadRabbit影响的电脑会收到一条勒索信息,要求得到0.5个比特币(约合275美元),才能解密系统并恢复正常。

BadRabbit勒索软件传播

ESET和卡巴斯基的网络安全研究人员,只是试图监控BadRabbit传播的两个组织推测这个新勒索软件的始作俑者与之有关NotPetya这是一个早些时候在全球造成严重破坏的勒索软件。

卡巴斯基发现了这一点NotPetya和坏兔子也差不多现在在几十个被黑的网站上。更重要的是,这两种勒索软件都是通过Windows管理Instrumentation命令行(设备管理器工具)以及密码和数据挖掘工具Mimikatz激活的。卡巴斯基表示,这意味着负责NotPetya的特工已经知道了BadRabbit的存在,并从7月开始就计划推出它。

BadRabbit传播的方式之一是通过驾车下载,将Javascript注入到网站的HTML主体中。当计算机访问该受感染的网站时,会弹出一个网站对话框,提示Flash Player需要更新。显然,单击“是”将导致下载并安装恶意软件。这是一种相当不常见的恶意软件传播方法。

就目前而言,与计算机系统的数量相比,病毒的爆发相形见绌NotPetya虽然受到了影响,但它也打击了俄罗斯重要的媒体机构,如国际文传电讯社(Interfax);乌克兰敖德萨机场;以及基辅地铁系统。乌克兰的一名政府官员说,“坏兔子”攻击了他们的IT业务,并使地铁系统的信用卡支付瘫痪。

ESET的恶意软件研究员罗伯特·利波夫斯基(Robert Lipovsky)表示:“危险的方面在于,它能够在如此短的时间内感染许多构成关键基础设施的机构。”如前所述,这意味着这次袭击是很久以前就计划好的,可能是在特工们严格研究了如何渗透那些难以破解的机构系统之后。

BadRabbit勒索软件:它的真实动机是什么?

如果NotPetya和BadRabbit确实来自同一个代理,那么它们的真正意图就会引发重要的问题。一些研究人员在对NotPetya进行逆向工程后发现,NotPetya实际上并不是勒索软件:受害者即使支付了赎金也无法恢复他们的文件。这意味着NotPetya,甚至可能还有BadRabbit,只是作为一种破坏性的恶意软件,伪装成勒索软件,破坏和阻碍乌克兰目标的系统。

即便如此,受害者本身都是俄罗斯人,这也让人怀疑NotPetya是否真的源自俄罗斯特工。

BadRabbit再次要求0.5比特币的赎金,但是否支付这样的结果来恢复文件仍有待确定。

corber2万博体育登录首页022 TECHTIMES.com未经允许,请勿转载。