CSE恶意软件实验室分析“坏兔子”勒索病毒

去年，一种名为“坏兔子”的新型勒索病毒来袭，从欧洲发源，通过伪造Flash更新弹窗传播，已经让许多企业和政府部门中招。今天，CSE恶意软件实验室来分析下“坏兔子”勒索病毒。

勒索病毒的传播

CSE恶意软件实验室对坏兔子病毒进行了初步分析，坏兔子勒索软件继承了臭名昭著的NotPetya的两个主要特点：1、在系统重新启动之后，弹出特定的勒索提示；2、依赖于SMB协议，具有横向传播的扩散能力。

这次勒索病毒攻击，找到的最始发源头是一家俄罗斯网站。当网友登陆这个网站时，会提示安装Flash插件。其实，这个Flash插件就是病毒伪装的命令，与Flash和Adobe本身无关。只要安装了病毒伪装的插件，病毒就会感染电脑，并伴随其他网络应用向外传播，感染速度以几何级增长。

“坏兔子”勒索病毒是通过“顺路下载攻击”的方式进行传播的。攻击者已经感染了俄罗斯，保加利亚和土耳其的许多网站。坏兔子的黑客们在受感染的网站上部署JavaScript，将各个来访者重定向到1dnscontrol.com那里。我们在做分析的时候，该寄宿着恶意代码文件的站点已经不可到达了。而这个脚本是通过向静态IP地址--185.149.120.3发送POST请求来下载该勒索软件的。

从表面上看，该勒索软件貌似一个Adobe的Flash更新，但实际上它是一个包含了一些载荷的滴管式释放软件。当该释放软件自我执行的时候，它首先检查文件“C:\WINDOWS\cscc.dat”是否存在。该文件实际上是在恶意软件对用户文件进行了加密之后，所生成的一个库文件。该文件的存在性可以被勒索软件解读为此处是否已被攻击的一项指标。也就是说，如果存在就意味着主机已经被感染，那么攻击链也就籍此被暂停不必继续了。因此我们可以得出这样的结论：文件cscc.dat就是该恶意软件的某种破坏执行开关。

最后，CSE恶意软件实验室指出，在当前阶段，我们尚无法通过其属性来判定此类攻击的威胁源角色。比较有趣且值得注意的是：该恶意软件并未明确地实施擦除行为，这暗示着攻击者还是以经济牟利为动机和目的。但是它被用作进行支付的暗网(.onion website)却又不可用，这就意味着受害者是无法通过支付赎金来解密文件的。当然，我们只能推断此类行为可能是攻击者用来隐藏其真实目的的一种战术，是一种刻意的行为。