【IT168 资讯】今年已经发生了两起大规模的勒索软件攻击事件——臭名昭著的WannaCry和ExPetr(也称作Petya和NotPetya)。卡巴斯基实验室日前发现了第三波攻击正在蔓延:一种名为坏兔子(Bad Rabbit)的新恶意软件。根据勒索信中链接的暗网显示,这就是该勒索软件的名字。卡巴斯基实验室专家会不断挖掘并持续更新这一恶意软件的新细节。
卡巴斯基实验室目前发现,俄罗斯一些大型媒体机构已经遭受坏兔子勒索软件感染,Interfax通讯社和 Fontanka.ru已确认是该恶意软件的受害者。Odessa国际机场也汇报了一起信息系统网络袭击事件,但是否属于同一攻击还尚不明确。
发起坏兔子攻击的网络罪犯索要0.05比特币赎金,根据目前兑换率大约是280美元。
根据卡巴斯基实验室专家的发现,本次攻击并没有使用漏洞利用程序。而是一种路过式攻击:受害人从受感染网站下载假冒的Adobe Flash安装程序,手动启动.exe文件后就会感染病毒。我们的研究人员已经检测到一系列危险网站,全部是新闻或媒体网站。
被坏兔子加密的文件能否恢复(支付赎金或利用勒索软件代码的一些漏洞)目前尚不清楚。卡巴斯基实验室反病毒专家正在对攻击进行调查,我们会随时更新发现结果。
根据卡巴斯基实验室掌握的数据,本次攻击的受害人大多在俄罗斯。乌克兰、土耳其和德国也发现了少量类似攻击。该勒索软件会通过一系列黑客入侵的俄罗斯媒体网站使设备受到感染。根据调查,这是一次针对企业网络的选择性攻击,所用方法类似于ExPetr攻击。然而我们无法确定是否与ExPetr有关。卡巴斯基实验室将继续展开调查。
卡巴斯基实验室产品已经可以查杀坏兔子(Bad Rabbit),并将该攻击检测为UDS:DangerousObject.Multi.Generic (由卡巴斯基安全网络检测到)和PDM:Trojan.Win32.Generic(由系统监视检测到)以及Trojan-Ransom.Win32.Gen.ftl。