丹凤千字科普：win10找不到rundll32.exe（详细资料介绍）

Bad Rabbit勒索病毒预警详解

1. 勒索病毒基本信息

2017年10月24日，一种名为Bad Rabbit（坏兔子）的勒索病毒在网上出现，最早在俄罗斯和乌克兰爆发。该病毒与之前的NotPetya勒索病毒有许多相似的代码实现。它能创建任务计划以关机重启，通过读取当前用户的密码和内置的弱口令来遍历内的电脑进行传播。病毒加密系统文件后，会要求支付比特币以解密。更多信息可参见：/bad-rabbit-ransomware/82851/。

2. 勒索病毒样本行为分析

Bad Rabbit勒索病毒样本伪装成Adobe Flash Player安装程序，版本号为27.0.0.170，并带有数字签名。文件编译时间是2017年10月22日。运行主样本后，会在系统目录（通常是C:Windows目录）生成多个文件，包括infpub.dat、dispci.exe、cscc.dat等。其中，infpub.dat通过rundll32.exe运行，并创建任务计划以重启系统。系统重启后，会运行dispci.exe文件（实际是DiskCryptor加密程序）。这些文件名是固定的，如果发现进程异常，可以立即结束相关进程。推荐使用Process Explorer工具来查看和管理Windows系统进程，下载地址为：docs./en-us/sysinternals/downloads/process-explorer。

3. 勒索病毒加密行为及传播方式

Bad Rabbit勒索病毒会搜索电脑上的特定文件扩展名并执行加密，涉及的扩展名非常广泛，包括常见的文档、图片、视频、音频、数据库等文件的格式。加密过程隐蔽，不会更改文件扩展名。在传播中，病毒会通过猜测用户名和弱口令来登录，涉及的用户名和口令列表相当长，涵盖了常见的用户名称和一些弱密码。一旦有电脑被感染，病毒会读取该电脑的密码和搜索内的其他电脑进行传播。加密文件后，会在系统根目录下留下Readme.txt文件，其中包含了勒索病毒的支付赎金信息。

4. 影响范围

Bad Rabbit勒索病毒主要通过伪装成正常程序（如Adobe Flash Player）人为点击运行传播。如果内没有其他电脑被感染，基本不会有进一步的影响。该病毒通过共享协议传播，如果内有其他电脑已经感染且开启了共享服务，病毒可能会迅速扩散。病毒还会通过读取已感染电脑的当前用户密码和内置弱口令列表进行传播。值得注意的是，Bad Rabbit勒索病毒暂未发现通过系统漏洞传播，因此它可以感染所有Windows系统，不限于存在漏洞的系统。

5. 缓解措施（安全应急建议）

（1）及时更新杀毒软件病毒库，以便能检测到该勒索病毒；

（2）内开共享服务的电脑请使用复杂密码，避免使用与勒索病毒自带列表中的密码相似的密码；

（3）养成定期备份重要文件的习惯；

（4）完善安全防护策略，关注安全威胁动态；

（5）建议安装正版、可信来源的Adobe Flash Player等程序，以减少病毒感染的风险。