還來不及哭哭！這次，壞兔兔又來囉！

繼「哭哭」之後，現在又有「兔兔」，勒索病毒無所不在

自台灣於今年5月開始，陸續受到「WannaCry」勒索病毒(蠕蟲)的威脅之後，相信大家開始對這類「勒索」病毒應該保有一份戒心才是。而縱使網路有傳言直指WannaCry(哭哭)病毒的幕後主使者就是北韓，其利用病毒的網路攻擊方式，來進行所謂的網路恐攻，造成無數受害者資料被加密，而必須選擇放棄自己的數位心血，或是花錢消災！

由於WannaCry創下在幾天之內，就在150個國家感染了30多萬台電腦，並要求受害者支付300美元起跳的贖金，才有機會將硬碟裡面被加密的檔案解密回原狀。但是，網路恐攻不會就這樣銷聲匿跡，因為近日，網路上有發現到全新的勒索病毒，叫做「Bad Rabbit」。

老闆比較有錢？兔兔主要針對企業網路做攻擊！

Bad Rabbit也是勒索病毒的一種，其目標主要瞄準在企業網路，並發動大規模攻擊！已知包括俄羅斯、烏克蘭等部份歐洲，已經遭受攻擊！目前該病毒也正從歐洲開始向外拓展！玩家們可要小心這一波的攻擊！

這次的Bad Rabbit勒索病毒，可能是源自Petya的變種。因Bad Rabbit主攻公共建設與公司行號，目前已知災情主要發生在烏克蘭和俄羅斯的運輸系統，以及媒體產業。烏克蘭的CERT組織(CERT-UA)還在10/24發出一份公告，來警告其網民們注意這個病毒正在肆虐中！目前尤其是在交通基礎建設方面，更要注意該病毒的下一步攻擊動向！



除了俄羅斯受害最嚴重(65%)之外，像是烏克蘭(12%)、保加利亞(10%)，土耳其(6.4%)也有災情，就連亞洲的日本(3.8%)，也有遭受到Bad Rabbit的攻擊！

偽裝成Flash播放程式，搭配開源工具，伺機讓使用者中招

不曉得各位有沒有碰過有些網頁，會回報你說你的Flash Player版本太舊，可能無法完整顯示網頁內容，而要求你更新的？有碰過的話！請務必小心！這種多半可能是病毒所偽裝的技倆，雖然也是幫你安裝好Flash Player，但其實還會「挾帶」一些有害程式，來入侵你的系統。Bad Rabbit就是利用這類的方式，來讓使用者中招！



據趨勢科技的分析，Bad Rabbit勒索病毒會透過假的Flash Player更新來進行傳播，再結合Mimikatz這類的開源工具來取得Windows的登入密碼(憑證)，並使用常見的硬編碼憑證列表(例如Admin、Guest、User、Root等)，來獲得權限。

除此之外，Bad Rabbit在加密的你的檔案時，還透過DiskCryptor這類的合法的開源加密工具，來把你的檔案進行加密，這樣一來，一些比較「嫩」的防毒軟體，還誤以為是使用者自己在加密檔案，而不是病毒在搞鬼！使得災難來臨時，使用者措手不及！

如何避免被「壞兔兔」纏上？

由於Bad Rabbit是以網路為傳染途徑，將病毒複製到其他電腦，其透過WMI (Windows Management Instrumentation)與服務控制管理遠端協定，來執行病毒碼。一旦Bad Rabbit被執行到時，就會透過Mimikatz工具，伺機用字典攻擊來取得Windows登入憑證，讓它可以取得最高的系統使用權限，接著再搭配DiskCryptor來加密害者的硬碟。因此，為避免被「壞兔兔」纏上，以下是建議的作法：

(1) 趕快更新/修補作業系統漏洞。像是SMB的更新，微軟就有推出MS17-10的重大更新修補包。請到https://technet.microsoft.com/zh-TW/library/security/ms17-010.aspx下載，並確認系統有打上這個修補包。可以的話，就將有漏洞的SMB V1功能關閉！
(2) 開啟防火牆、IDS、IPS等安全防護措施。
(3) 將資料分類管理，並使用網段分割架構，以降低受駭後的資料損害風險。
(4) 若用不到的話，就把WMI服務關閉！
(5) 安裝具備主動式防禦的防毒軟體，同時將重要檔案存放至其安全資料夾，以避免發生災難時，檔案被病毒無故加密！

以上，也祝福各位免於遭受病毒的侵擾！

參考資源：https://blog.trendmicro.com.tw/?p=53049