病毒手法與傳播方式:

從初期的幾份報告看來，BadRabbit勒索病毒會透過偽冒的Flash更新來進行傳播，再結合Mimikatz工具提取憑證(過去攻擊中也曾使用)。此外，這次攻擊顯然也使用了常見的硬編碼憑證列表，例如Admin, Guest, User, Root等。另外也有證據顯示，BadRabbit勒索病毒採用了合法的加密工具-DiskCryptor-來加密受害者的系統。

如何降低感染風險?

趨勢科技建議用戶可實施以下做法以降低受感染的風險:

• 更新/修補作業系統漏洞，或是考慮使用virtual patching虛擬補丁方案。
• 啟動防火牆/IDS/IPS等安全防護措施。
• 主動監控與驗證環境中進出網路的流量、來源與目的。
• 針對可能病毒攻擊的管道建立安全防護機制，例如電子郵件掃描、網頁瀏覽過濾與掃描等。
• 部署Apllication Control應用程式管控機制，以防止可疑的程式被執行，從而阻止惡意程式對系統進行不當的篡改。
• 採用資料分類管理與網段分割架構，降低受駭後資料損害的風險。
• 透過GPO或按照微軟提供的說明停用SMB (v1)。
• 確認所有可能受影響的系統皆已套用最新的修補程式。(或透過虛擬補丁解決方案來進行)。特別是關於 MS17-010 與近來所發布的各項安全性弱點。

透過趨勢科技產品進行防護

趨勢科技建議在端點電腦、郵件閘道、伺服器、HTTP閘道等處採用多層次安全防護，以確保所有可能被攻擊的電腦都能獲得適當的防護，進而抵擋類似的攻擊:

• 趨勢科技預測性機器學習 (內建於如OfficeScan XG等) 可攔截此勒索病毒並將之偵測為TROJ.Win32.TRX.XXPE002FF019.
• 趨勢科技網頁信譽評等服務(WRS) 已將攻擊行為中所使用的Flash Installer URL歸類於惡意連結。
• 趨勢科技Deep Discovery Analyzer (DDAN) 目前可攔截此攻擊手法並將之偵測為 VAN_FILE_INFECTOR.UMXX. 
• Smart Scan Agent與OPR病毒碼: 趨勢科技目前已針對此病毒及其變種進行病毒碼的製作
  • Smart Scan Pattern  - 自17594.019.00 及 17594.020.00之後的版本偵測為 Ransom_BADRABBIT.A 
  • Smart Scan Agent Pattern與OPR (conventional) –13.739.00與之後的版本，將該病毒偵測為Ransom_BADRABBIT.SMA, 與 Ransom_BADRABBIT.A 

請注意，以上病毒碼是防範此次攻擊時的最低建議，但是，由於病毒隨時可能出現新形的變種，用戶必須隨時保持病毒碼的更新並確定掃描引擎為9.8x以上的版本。

其他參考:

以下為關於本勒索病毒及其變種的相關參考資訊: 

趨勢科技部落格(BadRabbit 與 PetYa)

• TrendLabs Security Intelligence Blog: Bad Rabbit Ransomware Spreads via Network, Hits Ukraine and Russia

第三方訊息

• CERT-UA (Ukraine) Advisory: http://cert.gov.ua/?p=2945