新型勒索病毒 BadRabbit 防範建議

概要:

近日在東歐國家正爆發一波疑似Petya勒索病毒變種、一支被稱作為"BadRabbit"勒索病毒(RANSOM_BADRABBIT.A)的攻擊。趨勢科技具備XGen技術的產品在不更新病毒碼的情況下已可主動偵測並攔阻這支勒索病毒(TROJ.Win32.TRX.XXPE002FF019)。在今年六月Petya勒索病毒重擊歐洲國家後的數月,BadRabbit這次的攻擊事件顯得特別地引人注目。

 

詳情:

病毒手法與傳播方式 :

從初期的幾份報告看來,BadRabbit勒索病毒會透過偽冒的Flash更新來進行傳播,再結合Mimikatz工具提取憑證(過去攻擊中也曾使用)。此外,這次攻擊顯然也使用了常見的硬編碼憑證列表,例如Admin, Guest, User, Root等。另外也有證據顯示,BadRabbit勒索病毒採用了合法的加密工具-DiskCryptor-來加密受害者的系統。

 

如何降低感染風險?

趨勢科技建議用戶可實施以下做法以降低受感染的風險:

  • 更新/修補作業系統漏洞,或是考慮使用virtual patching虛擬補丁方案。
  • 啟動防火牆/IDS/IPS等安全防護措施。
  • 主動監控與驗證環境中進出網路的流量、來源與目的。
  • 針對可能病毒攻擊的管道建立安全防護機制,例如電子郵件掃描、網頁瀏覽過濾與掃描等。
  • 部署Apllication Control應用程式管控機制,以防止可疑的程式被執行,從而阻止惡意程式對系統進行不當的篡改。
  • 採用資料分類管理與網段分割架構,降低受駭後資料損害的風險。
  • 透過GPO或按照微軟提供的說明停用SMB v1。
  • 確認所有可能受影響的系統皆已套用最新的修補程式。(或透過虛擬補丁解決方案來進行)。特別是關於 MS17-010 與近來所發布的各項安全性弱點。
    其他參考:

    以下為關於本勒索病毒及其變種的相關參考資訊 :
    趨勢科技部落格(BadRabbit 與 PetYa)

     

    第三方訊息

發表迴響