新一波勒索病毒在東歐國家爆發,命名為「壞兔子」(BadRabbit)的惡意軟體,先前癱瘓了烏克蘭Odessa國際機場與俄羅斯Interfax通訊社的網路,也是繼Petya之後最慘烈的勒索病毒災害。
這波於東歐國家肆虐的勒索病毒「壞兔子」(BadRabbit)被懷疑是先前造成全球性災害的「 Petya 」的變種,這款惡意軟體攻擊烏克蘭Odessa國際機場與俄羅斯Interfax通訊社,並擴及數個歐洲國家的電腦系統,現在甚至漸漸將魔爪伸向美國,「壞兔子」會假冒成Flash更新來進行傳播,並採用了合法的加密工具「DiskCryptor」來加密受害者的系統,再結合 Mimikatz工具提取憑證。
根據趨勢科技的初步分析顯示,「Bad Rabbit」透過假Flash安裝程式「install_flash_player.exe」的水坑攻擊進行散播,被駭網站將被注入一個腳本,其中包含一個解析為「hxxp://1dnscontrol[.]com/flash_install」的網址,目前在丹麥、愛爾蘭、土耳其和俄羅斯仍觀察到一些受駭網站會散播假Flash安裝程式。
一旦假安裝程式被執行,它會用rundll32.exe程序來植入加密程式與解密程式dispci.exe,接著第二個排程檔案drogon.job會關閉受害者的電腦,然後勒索病毒會繼續加密系統內的檔案並顯示贖金通知,而目前Bad Rabbit會透過網路來將自己複製到其他電腦來進行擴散,所以使用者最好檢查一下防火牆設定,也不要下載來路不明的更新,以免被勒贖。