近两年，每到万圣节前夕，黑客总要出来搞点事情！

去年10月底，美国发生了大断网，而今年10月底，新型勒索病毒“Ransom/BadRabbit”（坏兔子）正侵袭欧洲多个国家。

目标是谁？

我们致茂网络（http://www.vpcv.com）发现，目前“坏兔子”的攻击目标锁定在特定俄语系网站及相关的访问者，主要影响了俄罗斯部分媒体组织，乌克兰的部分业务，包括基辅的公共交通系统和国家敖德萨机场，此外还影响了保加利亚和土耳其。

根据“360网络安全响应中心”的最新监测，中国地区目前基本没受影响。

如何传播？

据分析，该病毒通过伪装Adobe Flash Player 安装包进行传播。电脑感染病毒之后，其中文件将被加密，直至用户支付赎金。“坏兔子”主要是通过伪装 flash 安装程序让用户下载运行和暴力枚举SMB服务帐号密码的形式进行传播，并未使用“永恒之蓝”漏洞进行传播，感染形式上和此前的 NotPetya 勒索病毒相似，会主动加密受害者的主引导记录(MBR)。

致茂网络(http://www.vpcv.com)发现，“坏兔子”在勒索赎金上有所变化，初始赎金为0.05 比特币（约280美元），随时间的推移会进一步增加赎金。

解决方案

我们致茂网络(http://www.vpcv.com)建议，备份电脑上的重要文件到本机以外的其他机器上，检查组织内部的备份机制是否正常运作。

电脑安装防病毒安全软件，确认规则升级到最新。检查SMB共享是否使用了弱口令。

目前，360、火绒等国内安全软件已紧急升级，用户更新版本即可查杀。

关联分析及溯源

勒索软件复用了部分Petya家族的代码，可以视其与Petya家族有一定的继承关系。

勒索软件使用了1dnscontrol.com域名作为恶意代码的分发站点，此域名注册于2016年3月22日并作了隐私保护：

域名解析到IP 5.61.37.209，此IP所绑定其他域名也非常可疑，极有可能为同一攻击团伙所有：