【漏洞预警】： BadRabbit勒索病毒蔓延东欧

0X00 背景

在经历了WannaCry的全球性爆发和NotPetya的定向攻击之后，近日，一种新的恶意软件正在欧洲蔓延。被研究人员称之为“Bad Rabbit”的勒索病毒蔓延于俄罗斯和乌克兰等多个东欧国家，遭受Bad Rabbit勒索软件袭击的政府、交通、新闻等200多家机构受到不同程度影响。目前，美国已发现感染传播情况，国内尚未监测发现被攻击情况。

0X01 勒索方式

勒索病毒运行后会重启两次电脑，分别进行加密文档和锁定整个磁盘的操作。受病毒感染的电脑无法进入系统，只能看到满屏的勒索提示。对比之前几次勒索病毒的赎金情况看，此次BadRbbit的赎金要价并不算高。BadRabbit中招者需在40小时之内支付0.05比特币（约合300美金，1700元人民币）才能解锁。而且勒索页面有一个计时器，如果中招者不能在指定时间内支付“赎金”，解锁金额将提高。

0X02 传播方式

该勒索软件初始通过虚假Flash更新链接传播。当用户访问被入侵控制的合法网站时，网页跳转到虚假的Flash更新网站，一旦用户下载并安装虚假的Flash更新包则系统会被感染。同时被感染的主机也会成为跳板，攻击内网中其他的主机，如果你的电脑开启了共享服务，那么BadRabbit就有可能通过破解弱密码的方式实现爆破登录，为了增强入侵成功率，BadRabbit还利用了密码抓取器mimikatz抓取电脑中的hash，以实现更大范围的攻击。

0X03 防范措施

鉴于该勒索软件潜在危害较高，影响较大，建议采取以下紧急措施：

1.及时关闭TCP 137、139、445端口；

2.检查内网机器设置，暂时关闭设备共享功能；

3.禁用Windows系统下的管理控件WMI服务；

4.警惕类似Adobe Flash下载更新链接，如需下载务必到官网下载；

5.安装联想电脑管家来防护此类恶意软件。