据英国广播公司(BBC)当地时间10月24日报道,一种名为“坏兔子”(Bad Rabbit)的新型勒索病毒软件正从俄罗斯和乌克兰等地爆发并开始蔓延到欧洲。
在俄罗斯遭受的攻击中,该病毒是通过虚假AdobeFlash更新来进行的。一旦计算机受到这种病毒感染,就会被定向到一个隐蔽网站,同时要求受害者支付0.05个比特币的赎金,约合人民币1858元。如果受攻击目标在40个小时之内没有支付赎金,黑客就会不断提高赎金的数额,同时通过黑色背景红色文字的显眼方式不断进行提醒。根据Avast的最新报告显示,目前,在美国也发现了第一批受到感染的计算机,并且在未来的几个小时里,会有越来越多的感染案例报告出现。
要说坏兔子这个名字起的也是很有意境,真的可以让人一瞬间联想到各种黑童话的画面感。根据相关技术人员所提供的分析,“坏兔子”和今年早些时候爆发的WannaCry(今年5月爆发的一种“蠕虫式”勒索病毒软件)和NotPetya(今年6月出现的类似Petya的全新形式勒索病毒)有些相似。
当地时间24日,“坏兔子”影响了三个俄罗斯网站的系统、乌克兰的一个机场和首都基辅的地铁系统。乌克兰的网络警察局长向路透社证实,“坏兔子”是“勒索软件”。俄罗斯网络安全厂商卡巴斯基实验室25日报告说,据它所知,目前“坏兔子”已经攻击了位于俄罗斯、乌克兰、土耳其和德国境内的约200家公司的计算机网络。其中,大部分目标位于俄罗斯境内。
通过伪造Adobe Flash更新传播
伪造Adobe Flash更新页面
图源:ESET公司
据悉,“坏兔子”恶意勒索软件是通过一个伪造的Adobe Flash更新来传播的。
成功感染之后,“坏兔子”会向受害者们提供了一张“勒索纸条”,告诉他们,他们的文件已经“不能再用了”,“没有我们的解密服务,谁也无法恢复。”
勒索页面
图源:ESET公司
随后,受害者会看到一个支付页面,页面上有一个倒计时计时器。他们被告知,在最初的40个小时内,支付解密文件的费用是0.05比特币——大约285美元。那些在计时器到达零之前不支付赎金的人被告知,费用将会上升,他们将不得不支付更多的费用。
支付倒计时页面
图源:卡巴斯基实验室
美国计算机应急准备小组表示,他们“不鼓励个人和组织支付赎金,因为这不能保证问题能够解决”。
目前,“坏兔子”背后的操控者是谁还不清楚。但该病毒的代码中含有不少流行文化中的符号,例如使用“权利的游戏”中的两他偶龙和Gary Worm的名字来作为其任务计划的名字。相比也是一个内心有故事的青年,通过对代码的研究我们姑且断定这人应该是《权利的游戏》的粉丝!
“坏兔子”背后的操控者是谁,目前还不知道。不过,有研究人员发现,“坏兔子”和今年6月的病毒NotPetya有相似之处。信息安全公司Crowdstrike的研究人员也分析发现,这两个勒索病毒的DLL(动态链接库)共享同一代码的67%,这表明这两个勒索软件是紧密相关的,甚至可能来自同一个威胁者。
但是,“坏兔子”能传播多远,至今还不清楚。包括俄罗斯在内的网络安全公司表示,他们正在监控此次攻击。