• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:329

●重點摘要：

1. 根據有關報告，近期發現一種標記為 "Bad Rabbit" 的新型勒索軟體變種，初始分析顯示是透過偽冒的 Flash Player 更新模組進行感染。
2. 一旦被感染，檔案即遭加密，並要求使用解密密鑰的費用為0.05比特幣(約280美元)，而目前沒有跡象顯示支付贖金是否會產生有效密鑰，以正確解密受害者的檔案。
3. 資安公司表示，烏克蘭運輸業成員以及政府機構和俄羅斯媒體 Interfax 和 Fontanka 等，都是這次襲擊事件的受害者，部分報導表示，土耳其，保加利亞和德國也發生過攻擊。
4. 泰國ThaiCERT分析報告請見參考連結[2]。

●以下為IBM提供之IoCs (Indicators of Compromise)
MAL:
[1]79116fe99f2b421c52ef64097f0f39b815b20907
[2]413eba3973a15c1a6429d9f170f3e8287f98c21c
[3]16605a4a29a101208457c47ebfde788487be788d
[4]4f61e154230a64902ae035434690bf2b96b4e018
[5]afeee8b4acff87bc469a6f0364a81ae5d60a2add
[6]de5c8d858e6e41da715dca1c019df0bfb92d32c0

IP:
[1]185.149.120.3
[2]94.41.107.228
[3]109.162.2.39
[4]31.44.10.46
[5]188.143.30.190
[6]109.104.176.20
[7]94.244.149.221
[8]188.190.197.231
[9]77.239.190.205
[10]81.22.135.82
[11]178.216.99.219

file:
1dnscontrol​.com/​flash_install​.php
caforssztxqzf2nm.onion
\admin$\infpub.dat
\admin$\cscc.dat

遭駭網站：

argumentiru[.]com
www[.]fontanka[.]ru
grupovo[.]bg
www[.]sinematurk[.]com
ica[.]co
spbvoditel[.]ru
argumenti[.]ru
www[.]mediaport[.]ua
blog[.]fontanka[.]ru
an-crimea[.]ru
www[.]t[.]ks[.]ua
most-dnepr[.]info
rta[.]com
www[.]otbrana[.]com
calendar[.]fontanka[.]ru
www[.]grupovo[.]bg
www[.]pensionhotel[.]cz
www[.]online812[.]ru
www[.]imer[.]ro
novayagazeta[.]spb[.]ru
i24[.]com
bg[.]pensionhotel[.]com
ankerch-crimea[.]ru
bingo[.]bangabongo[.]org

●TWCERT/CC建議，確保防毒軟體和相關的特徵檔是最新的，並於瀏覽網頁時，如該網頁信任度不高，盡可能不要安裝 Flash Player 更新。

攻擊手法：Ransomware

參考連結：

https://exchange.xforce.ibmcloud.com/collection/XFTAS-SI-2017-00001-51701e9c25aaaf7e02b19fa6d63ccc80
https://twcert-official-file.s3.hicloud.net.tw/722824_BadRabbit%20Ransomware%20v1.0.pdf