近日，一款名為“Bad Rabbit”（壞兔子）的勒索軟件在境外蔓延。CNCERT第一時間對該勒索軟件進行分析，現將有關情況通報如下：

漏洞基本情況

2017年10月24日， “Bad Rabbit”（壞兔子）勒索軟件在境外蔓延，目前涉及的國家主要有俄羅斯、烏克蘭、德國、土耳其等歐洲國家，受害者包括俄羅斯的國際文傳電訊社、烏克蘭敖德薩國際機場、烏克蘭基輔地鐵系統等歐洲多國基礎設施。

與之前的“Wannacry”與“Petya”不同，“Bad Rabbit”并未使用漏洞進行傳播。攻擊者通過攻陷合法網站，在合法網站中植入惡意代碼，偽裝成Adobe Flash升級更新彈窗，誘導用戶主動點擊下載并手動運行偽裝成AdobeFlash的“Bad Rabbit”勒索軟件。此勒索軟件會加密感染者電腦中的文件，并提示受害者支付0.05比特幣的贖金；此外，該勒索軟件會掃描內網SMB共享，使用弱密碼和Mimikatz工具獲取登錄憑證等手段嘗試登錄和感染內網其它主機。

漏洞影響范圍

目前，該勒索軟件主要在境外蔓延。根據CNCERT監測，10月24日至10月25日期間，境內僅發現極少量IP存在該勒索軟件下載以及分發行為。疑似感染地區包括廣東、河南、福建與北京。截止到此通報發布日期，我國境內尚未發現規模性感染。

漏洞修復建議

盡管此勒索軟件并未利用漏洞進行大規模傳播，但不排除后續出現利用漏洞進行傳播的變種的可能。針對國內互聯網用戶, CNCERT的防護建議如下：

1）檢查系統中是否存在以下三個文件之一，若存在則說明已經感染該勒索軟件，請立即清除：

C:Windowsdispci.exe

C:Windowsinfpub.dat

C:Windowscscc.dat

2）安裝并及時更新殺毒軟件產品；

3）及時關閉計算機以及網絡設備上的445和139端口；

4）及時更新系統安全補丁；

5）關閉不必要的網絡共享；

6）使用強度較高的密碼并定期更換，降低系統密碼被破解的風險；

7）不要輕信網站彈窗，請從官方網站或可信渠道下載軟件更新；

8）定期在不同的存儲介質上備份計算機上的重要文件。