近两年，每到万圣节前夕，黑客总要出来搞点事情!

去年10月底，美国发生了大断网，而今年10月底，新型勒索病毒“Ransom/BadRabbit”(坏兔子)正侵袭欧洲多个国家。周二一款名为“坏兔子”的勒索软件发动攻击，致使欧洲数国电脑系统遭冻结，并已经开始向美国扩散。这是最新一波恶意软件攻击，今年以来此类攻击已经令企业和政府部门叫苦不迭。据了解“坏兔子”(Bad Rabbit)，是勒索软件的一种；勒索软件将受害电脑的文件加密，让电脑无法使用，从而要求支付赎金。这次的勒索软件要求支付0.05枚比特币（合275美元），不过支付赎金之后是否可以解密电脑文件尚不清楚。捷克反病毒公司Avast Software s.r.o.说，到周二晚间，该软件已经开始向美国传播。

目标是谁?

攻击目标锁定在特定俄语系网站及相关的访问者

目前“坏兔子”的，主要影响了俄罗斯部分媒体组织，乌克兰的部分业务，包括基辅的公共交通系统和国家敖德萨机场，此外还影响了保加利亚和土耳其。

根据“360网络安全响应中心”的最新监测，中国地区目前基本没受影响。

如何传播?

该病毒通过伪装Adobe Flash Player 安装包进行传播。电脑感染病毒之后，其中文件将被加密，直至用户支付赎金。

据分析，

“坏兔子”主要是通过伪装 flash 安装程序让用户下载运行和暴力枚举SMB服务帐号密码的形式进行传播，并未使用“永恒之蓝”漏洞进行传播，感染形式上和此前的 NotPetya 勒索病毒相似，会主动加密受害者的主引导记录(MBR)。

“坏兔子”在勒索赎金上有所变化，初始赎金为0.05 比特币(约280美元)，随时间的推移会进一步增加赎金。

解决方案:建议，备份电脑上的重要文件到本机以外的其他机器上，检查组织内部的备份机制是否正常运作。

电脑安装防病毒安全软件，确认规则升级到最新。

检查SMB共享是否使用了弱口令。

目前，360、火绒等国内安全软件已紧急升级，用户更新版本即可查杀。

关联分析及溯源

勒索软件复用了部分Petya家族的代码，可以视其与Petya家族有一定的继承关系。

勒索软件使用了1dnscontrol.com域名作为恶意代码的分发站点，此域名注册于2016年3月22日并作了隐私保护：

域名解析到IP 5.61.37.209，此IP所绑定其他域名也非常可疑，极有可能为同一攻击团伙所有：