一个名为Badrabbit的新勒索软件正在遍布俄罗斯,乌克兰以及其他东欧国家,以机场,铁路运输和媒体在内的公司网络为目标。
受BadRabbit影响的计算机会收到一条赎金消息,要求将其系统解密并恢复正常。
BadRabbit勒索软件传播
Eset和Kaspersky的网络安全研究人员只是两个试图监视BadRabbit的传播的小组推测这个新勒索软件的发起人与NotPetya这是一种较早的勒索软件,在全球造成严重破坏。
卡巴斯基发现了这一点NotPetya和Badrabbit类似展示在数十个黑客网站上。更重要的是,除了密码和数据挖掘工具Mimikatz之外,这两个勒索软件都是通过Windows Management命令行(设备管理器工具)激活的。卡巴斯基说,这意味着负责NotPetya的代理商已经知道BadRabbit,并计划自7月以来发布。
BadRabbit的传播方式之一是通过Drive-By Download下载,该下载将JavaScript注射到网站的HTML主体中。当计算机访问感染网站时,一个站点对话框弹出,说Flash Player需要更新。显然,单击是会导致下载和安装恶意软件。这是一种非常罕见的恶意软件分发方法。
目前,爆发与计算机系统量相比NotPetya受到影响,但它打击了重要的俄罗斯媒体,例如新闻社的Interfax;乌克兰的敖德萨机场;和基辅地铁系统。乌克兰的一名政府官员说,Badrabbit Clobber clobber造成了IT运营,并破坏了地铁系统的信用卡付款。
ESET的恶意软件研究人员Robert Lipovsky:“危险的方面是,它能够感染许多在如此短的时间内构成关键基础设施的机构。”如前所述,这意味着这次袭击是在很久以前计划的,可能是在代理商严格研究如何渗透到这些难以裂口的机构系统之后。
BadRabbit勒索软件:它的真正动机是什么?
如果NotPetya和Badrabbit确实来自同一代理商,那就提出了有关其真正意图的重要问题。一些研究人员发现,在逆转工程之后,NotPetya实际上不是勒索软件:即使支付了赎金后,受害者也无法恢复其文件。这意味着NotPetya,甚至可能是BadRabbit,只是充当破坏性的恶意软件,但被伪装成破坏乌克兰目标的勒索软件。
即便如此,受害者都是俄罗斯人本身,这也引起了疑问,这是否真正起源于俄罗斯特工。
同样,Badrabbit要求赎金0.5-纤维币赎金,但是是否要为文件恢复而付费还需要确定。
