劳动节! 劳动节! 另一次新的勒索软件爆发袭击了乌克兰和俄罗斯的主要基础设施,包括几个运输组织以及许多政府组织,并以 “坏兔子” 的名义运作。
根据媒体报道,许多计算机已经通过此网络攻击进行了加密。 公共消息来源证实,基辅地铁的计算机系统以及敖德萨机场以及来自俄罗斯的其他众多组织都受到了影响。
用于此次网络攻击的恶意软件是“Disk Coder.D” - 勒索软件的一种新变种,通常以“Petya”的名义运行。 Disk Coder先前的网络攻击在2017年6月在全球范围内造成了损害。
关于坏兔子的ESET。
ESET的遥测系统报告了多次出现的Disk Coder。 然而,在俄罗斯和乌克兰境内,土耳其,保加利亚和其他一些国家的计算机上也发现了这种网络攻击事件。
目前,ESET的安全研究人员正在对这种恶意软件进行全面分析。 根据他们的初步调查结果,Disk Coder。 D使用Mimikatz工具从受影响的系统中提取凭据。 他们的调查结果和分析正在进行中,我们会在收到更多细节后立即通知您。
ESET遥测系统还告知乌克兰仅占他们看到Bad Rabbit渗透的总次数的12.2%。 以下是其余统计数据:
- 俄罗斯:65%
- 乌克兰:12.2%
- 保加利亚:10.2%
- 土耳其:6.4%
- 日本:3.8%
- 其他:2.4%
因此,Bad Rabbit的上述国家分布受到了影响。 有趣的是,所有这些国家都同时被击中。 该组织很可能已经进入了受影响组织的网络。
如何。
用于Bad Rabbit的分发方法是“Drive-By Download”。 简单来说,偷渡式下载是网站或电子邮件上显示的意外下载弹出窗口。 在这些情况下,“供应商”声称用户“同意”该特定下载,尽管用户实际上完全不知道已经开始了不需要的或恶意的软件下载。
同样,对于Bad Rabbit案例,我们到目前为止看到的是一个弹出窗口,要求下载Adobe Flash Player的更新版本,如下所示。
只要有人点击下载按钮,就会下载一个可执行文件。 这个可执行文件即install_flash_player.exe是Bad Rabbit的dropper。 最终,计算机锁定并显示如下赎金票据。
此外,Bad Rabbit的付款页面看起来像这样。
以下是受感染的网站。
- hxxp:// argumentirucom
- hxxp://www.fontankaru
- hxxp:// grupovobg
- hxxp://www.sinematurkcom
- hxxp://www.aica.cojp
- hxxp:// spbvoditelru
- hxxp:// argumentiru
- hxxp://www.mediaportua
- hxxp://blog.fontankaru
- hxxp:// AN-crimearu
- hxxp://www.t.ksua
- hxxp://最dneprinfo
- hxxp://osvitaportal.comua
- hxxp://www.otbranacom
- hxxp://calendar.fontankaru
- hxxp://www.grupovobg
- hxxp://www.pensionhotelcz
- hxxp://www.online812ru
- hxxp://www.imerro
- hxxp://novayagazeta.spbru
- hxxp://i24.comua
- hxxp://bg.pensionhotelcom
- hxxp:// ankerch-crimearu
怎么办?
今天的网络攻击已演变成许多面孔。 互联网不再是一个安全的地方,这就是为什么强烈建议使用真正的VPN; 特别是在连接到公共Wi-Fi时。
通过行业领先的VPN服务提供商Ivacy VPN在您自己和互联网之间创建安全加密的隧道,并控制您的在线状态并保护您的宝贵数据。
