Bad Rabbit

新型勒索病毒“Bad Rabbit”在歐洲部分地區爆發，俄羅斯、烏克蘭、土耳其、德國受到影響。據國內網絡安全企業介紹，該病毒偽裝成Adobe flash player欺騙用户安裝，感染後會在局域網內擴散。該病毒在國內並無活躍跡象 ^[1]  。

騰訊電腦管家團隊表示，對於新型勒索病毒，大家無需驚慌，電腦管家等安全軟件已可攔截該病毒。同時，提示企業和個人檢查內網打開共享的機器，進行暫時關閉；並更換複雜的密碼；下載軟件通過安全軟件或軟件官網下載 ^[1]  。

360安全專家也表示，國內用户暫無需過分擔心，該病毒在國內並無活躍跡象，大家只要開啓安全軟件即可有效防禦。但蠢蠢欲動的勒索病毒仍隨時伺機發動攻擊，用户也需提高警惕，如關閉共享服務、提升密碼強度等 ^[1]  。

BadRabbit勒索病毒通過一些網站進行掛馬傳播，當網絡用户訪問這些被掛馬的網站，瀏覽器就會彈出偽裝的Adobe flash player升級的對話框，一旦用户點擊了"安裝"按鈕，就會自動下載勒索病毒 ^[1]  。

勒索病毒運行後會兩次重啓電腦，分別進行加密文檔和鎖定整個磁盤的操作，中招者無法進入系統，只能看到滿屏的勒索提示。BadRabbit的贖金要價與此前的勒索病毒相比並不算高，在40小時之內的解鎖價格為0.05比特幣(約合人民幣1700元)，用户需要使用特定的瀏覽器訪問一個暗網鏈接才能獲得解鎖用的密鑰 ^[1]  。

一是警惕類似AdobeFlash下載更新鏈接 ^[2]  ；

二是及時關閉TCP 137、139、445端口 ^[2]  ；

三是檢查內網機器設置，暫時關閉設備共享功能 ^[2]  ；

四是禁用Windows系統下的管理控件WMI服務。同時，請各黨政機關、新聞以及大型商業網站加強安全防護，防止被入侵控制，發現系統感染和遭受攻擊情況後及時報告 ^[2]  。

同時，提示企業和個人更換複雜的密碼，下載軟件通過安全軟件或軟件官網下載

從上面我們可以看出，要徹底杜絕BadRabbit病毒，一是警惕下載軟件，二是解決共享設備之間的擴散感染。共享設備能否經得住考驗，成為重中之重。關閉共享設備其實是因噎廢食之舉，共享設備能夠經受住考驗，杜絕病毒才是從根本上解決問題。默認關閉455等容易被入侵的端口，也與病毒防禦措施吻合。 ^[3] 

1、關閉WMI服務，避免惡意軟件通過網絡傳播;

2、關閉Windows主機135/139/445等共享服務端口;

3、局域網共享PC使用複雜密碼;

4、及時更新殺毒軟件病毒庫，以便能檢測到該勒索病毒

目前該病毒樣本已公開，且在國內並無大規模傳播 ^[4] 

目前已知的被加密文件後綴名有

.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

加密文件後會在系統根目錄下留一個Readme.txt的文件，裏面就是勒索病毒提示支付贖金的信息。 ^[4]