:::

資訊服務
資訊服務Office of Information Technology

:::
2017/10/25
系統網路組

新型勒索病毒 BadRabbit 防範建議

新型勒索病毒 BadRabbit 防範建議(資料來源:趨勢科技)

 

概要:

近日在東歐國家正爆發一波疑似Petya勒索病毒變種、一支被稱作為"BadRabbit"勒索病毒(RANSOM_BADRABBIT.A)的攻擊。趨勢科技具備XGen技術的產品在不更新病毒碼的情況下已可主動偵測並攔阻這支勒索病毒(TROJ.Win32.TRX.XXPE002FF019)。在今年六月Petya勒索病毒重擊歐洲國家後的數月,BadRabbit這次的攻擊事件顯得特別地引人注目。

 

詳情:

病毒手法與傳播方式 :

從初期的幾份報告看來,BadRabbit勒索病毒會透過偽冒的Flash更新來進行傳播,再結合Mimikatz工具提取憑證(過去攻擊中也曾使用)。此外,這次攻擊顯然也使用了常見的硬編碼憑證列表,例如Admin, Guest, User, Root等。另外也有證據顯示,BadRabbit勒索病毒採用了合法的加密工具-DiskCryptor-來加密受害者的系統。

 

如何降低感染風險?

趨勢科技建議用戶可實施以下做法以降低受感染的風險:

  • 更新/修補作業系統漏洞,或是考慮使用virtual patching虛擬補丁方案。
  • 啟動防火牆/IDS/IPS等安全防護措施。
  • 主動監控與驗證環境中進出網路的流量、來源與目的。
  • 針對可能病毒攻擊的管道建立安全防護機制,例如電子郵件掃描、網頁瀏覽過濾與掃描等。
  • 部署Apllication Control應用程式管控機制,以防止可疑的程式被執行,從而阻止惡意程式對系統進行不當的篡改。
  • 採用資料分類管理與網段分割架構,降低受駭後資料損害的風險。
  • 透過GPO或按照微軟提供的說明停用SMB v1。
  • 確認所有可能受影響的系統皆已套用最新的修補程式。(或透過虛擬補丁解決方案來進行)。特別是關於 MS17-010 與近來所發布的各項安全性弱點。

     

透過趨勢科技產品進行防護

趨勢科技建議在端點電腦、郵件閘道、伺服器、HTTP閘道等處採用多層次安全防護,以確保所有可能被攻擊的電腦都能獲得適當的防護,進而抵擋類似的攻擊 :

  • 趨勢科技預測性機器學習 (內建於如OfficeScan XG等) 可攔截此勒索病毒並將之偵測為TROJ.Win32.TRX.XXPE002FF019.
  • 趨勢科技網頁信譽評等服務(WRS) 已將攻擊行為中所使用的Flash Installer URL歸類於惡意連結。
  • 趨勢科技Deep Discovery Analyzer (DDAN) 目前可攔截此攻擊手法並將之偵測為 VAN_FILE_INFECTOR.UMXX.
  • Smart Scan AgentOPR病毒碼: 趨勢科技目前已針對此病毒及其變種進行病毒碼的製作
    • Smart Scan Pattern - 自17594.019.00 及 17594.020.00之後的版本偵測為 Ransom_BADRABBIT.A
    • Smart Scan Agent Pattern與OPR (conventional) –13.739.00與之後的版本,將該病毒偵測為Ransom_BADRABBIT.SMA, 與 Ransom_BADRABBIT.A

       
  • 請注意,以上病毒碼是防範此次攻擊時的最低建議,但是,由於病毒隨時可能出現新形的變種,用戶必須隨時保持病毒碼的更新並確定掃描引擎為9.8x以上的版本。
 

其他參考:

以下為關於本勒索病毒及其變種的相關參考資訊 :
趨勢科技部落格(BadRabbit 與 PetYa)

第三方訊息