四川省干部函授学院  四川文化产业职业学院

网络信息安全公告

（2017第1期）

 

1、事件描述

    2017年10月24日，网上出现了一个被命名为“Bad Rabbit”（中文译名：坏兔子）的勒索病毒，并逐步向世界各地扩散。该病毒通过伪装成大众熟悉的正常程序（Adobe Flash Player），人为点击运行，将受害电脑的文件加密，让电脑无法使用，从而要求支付赎金，“坏兔子”勒索病毒要求支付0.05比特币（合275美元）。

2、应急加固建议

网络应急解决方案(信息办)

Ø  在边界防火墙上调整访问控制策略，禁止外网对内网135/137/139/445端口的连接；

Ø  在内网核心主干交换路由设备禁止135/137/139/445端口（会影响相关端口的服务）的连接；

Ø  更新IDS入侵检测系统事件库，加强对该事件的监测。

终端应急解决方案（各部门）

Ø  及时更新杀毒软件病毒库（电脑使用的360，电脑管家，瑞星等杀毒工具点击更新病毒库），以便能检测到该勒索病毒；

Ø  由于“Bad Rabbit”采用字典攻击方法获取登陆凭证，因此局域网开共享的电脑请使用比较复杂的密码，如果跟勒索病毒自带列表中的密码相同请及时修改（参见“附录：账号和弱口令列表”）；

Ø  建议安装正版可信来源的Adobe Flash Player；

Ø  做好重要文件的备份工作（非本地备份，如拷入移动硬盘、U盘等）；

Ø  开启系统防火墙，阻止向445端口进行连接（该操作会影响使用445端口的服务）；

Ø  关注是否存在病毒在系统目录下（通常是C:\Windows目录）生成多个的文件（infpub.dat、dispci.exe、cscc.dat），请列入进程黑名单，阻止其自动运行。

Ø  关闭系统WMI服务器，或在手动在“控制面板-管理工具-服务”关闭该服务；

已经感染设备应急解决方案

Ø  断开网络连接，阻止进一步扩散；

Ø  已经感染终端，根据终端数据类型决定处置方式，如果重新安装系统则建议完全格式化硬盘、使用新操作系统、完善操作系统补丁、通过检查确认无相关漏洞后再恢复网络连接。

3、附录：账号和弱口令列表

“Bad Rabbit 坏兔子”在内网传播中通过猜测以下列表的用户名来登录：

Administrator、Admin、Guest、User、User1、user-1 、Test、root、buh、boss、ftp、rdp、rdpuser、rdpadmin、manager、support、work、other user、operator、backup、asus、ftpuser、ftpadmin、nas、nasuser、nasadmin、superuser、netguest、alex

“Bad Rabbit 坏兔子”在内网传播中通过猜测以下列表的弱口令来登录：

Administrator、administrator、Guest、guest、User、user、Admin、adminTest、test、root、123、1234、12345、123456、1234567、12345678、123456789、1234567890、Administrator123、administrator123、Guest123、guest123、User123、user123、Admin123、admin123Test123、test123、password、111111、55555、77777、777、qwe、qwe123、qwe321、qwer、qwert、qwerty、qwerty123、zxc、zxc123、zxc321、zxcv、uiop、123321、321、love、secret、sex、 god

 

如有疑问，请联系信息办！

联系人：曹华娟 路志新    联系电话：85744089

 

 

教育信息化办公室

2017-10-26