最近，國內(nèi)有眾多網(wǎng)友反饋中了CTB-Locker敲詐者病毒, 電腦里的文檔、圖片等重要資料被該病毒加密，同時(shí)提示受害者在96小時(shí)內(nèi)支付8比特幣（約1萬元人民幣）贖金，否則文件將永久無法打開。這是CTB-Locker敲詐者病毒首次現(xiàn)身中國，受害者大多是企業(yè)高管等商務(wù)人士。

這是國內(nèi)首次出現(xiàn)敲詐比特幣的病毒攻擊，該病毒敲詐過程具有高隱蔽性、高技術(shù)犯罪、敲詐金額高、攻擊高端人士、中招危害高的“五高”特點(diǎn)，對一些具有海外業(yè)務(wù)的企業(yè)造成惡劣影響。

• 摘要

CTB-Locker病毒通過郵件附件傳播，如果用戶不小心運(yùn)行，用戶系統(tǒng)中的文檔、照片等114種文件會被病毒加密。病毒在用戶桌面顯示勒索信息，要求向病毒作者支付8比特幣贖金才能夠解密還原文件內(nèi)容。

由于獲取贖金支付信息需要在Tor網(wǎng)絡(luò)中進(jìn)行， Tor網(wǎng)絡(luò)是隨機(jī)匿名并且加密傳輸?shù)模忍貛沤灰滓彩峭耆涿?，這使得病毒作者難以被追蹤到，受害者支付贖金的難度也不小。一旦中招，對大多數(shù)人來說只能嘗試找回被加密文件“以前的版本”，但前提是系統(tǒng)開啟了卷影復(fù)制或Windows備份服務(wù)，否則很難找回文件。

• 樣本信息

MD5：a2fe69a12e75744b7088ae13bfbf8260

傳播量：估算全國范圍內(nèi)>1000

受影響的操作系統(tǒng)： Windows系統(tǒng)

樣本圖標(biāo)：

病毒名稱：Malware.QVM20.GEN

截獲時(shí)間：2015-01-19 14:01:02

查殺時(shí)間：2015-01-19 14:01:02（QVM人工智能引擎在首次捕獲樣本時(shí)即可查殺）

• 技術(shù)細(xì)節(jié)

樣本攻擊流程如下：

第一步：通過郵件附件發(fā)送病毒樣本

第二步：

病毒使用了大量垃圾指令用于阻礙樣本分析，最終在內(nèi)存中展開第三步所用的PE文件。

循環(huán)解密，寫入動態(tài)申請的內(nèi)存中

解密完成，跳轉(zhuǎn)到動態(tài)申請的內(nèi)存中，執(zhí)行解密后的代碼

動態(tài)獲得系統(tǒng)API

再次申請內(nèi)存，將自身解密，內(nèi)存中動態(tài)展開第三步所用病毒

第三步:

從獲取自身資源，釋放并執(zhí)行RTF文件，讓用戶誤以為打開了文檔

RTF文件內(nèi)容如下：

接下來,樣本嘗試訪問windowsupdate.microsoft.com，判斷用戶是否可以聯(lián)網(wǎng)。

如果可以聯(lián)網(wǎng)，則會循環(huán)讀取下載列表，下載加密文件

通過解密pack.tar.gz得到第四步所用的病毒。

第四步：

利用之前相似的方式，動態(tài)解密自身，在內(nèi)存中展開新的PE文件，并且這個(gè)文件被加了殼，目的還是阻礙分析。

代碼還原后，可以在內(nèi)存中得到第五步所需的病毒。

第五步:

最終的敲詐功能在第五步中實(shí)現(xiàn)。

運(yùn)行后會將自身拷貝到temp目錄中，并且創(chuàng)建計(jì)劃任務(wù)，實(shí)現(xiàn)自啟動。

遠(yuǎn)程注入惡意代碼到svchost.exe中

判斷中毒用戶是否有vboxtray.exe、vboxservice.exe、vmtoolsd.exe等虛擬機(jī)進(jìn)程，目的也是為了阻礙分析，增加觸發(fā)病毒代碼的條件。

遍歷用戶所有文件，包括硬盤、U盤、網(wǎng)絡(luò)共享等。

判斷用戶的文件格式是否符合感染目標(biāo)，共114種文件作為病毒感染目標(biāo)

pwm,kwm,txt,cer,crt,der,pem,doc,cpp,c,php,js,cs,pas,bas,pl,py,docx,

rtf,docm,xls,xlsx,safe,groups,xlk,xlsb,xlsm,mdb,mdf,dbf,sql,md,dd,

dds,jpe,jpg,jpeg,cr2,raw,rw2,rwl,dwg,dxf,dxg,psd,3fr,accdb,ai,arw,

bay,blend,cdr,crw,dcr,dng,eps,erf,indd,kdc,mef,mrw,nef,nrw,odb,odm,

odp,ods,odt,orf,p12,p7b,p7c,pdd,pdf,pef,pfx,ppt,pptm,pptx,pst,ptx,

r3d,raf,srf,srw,wb2,vsd,wpd,wps,7z,zip,rar,dbx,gdb,bsdr,bsdu,bdcr,

bdcu,bpdr,bpdu,ims,bds,bdd,bdp,gsf,gsd,iss,arp,rik,gdb,fdb,abu,config,rgx

根據(jù)計(jì)算機(jī)啟動時(shí)間,文件創(chuàng)建，修改，訪問時(shí)間等信息為隨機(jī)種子生成KEY。對文件ZLIB壓縮之后進(jìn)行了AES加密：

最終修改受害者壁紙，顯示勒索信息：

• 安全建議

一、不點(diǎn)擊陌生人發(fā)來的exe、scr等可執(zhí)行程序；

二、重要數(shù)據(jù)做好日常備份，推薦使用360殺毒“文件堡壘”進(jìn)行保護(hù)，防止文件被誤刪；

三、及時(shí)更新安全軟件防范病毒。

上一篇：電腦各種數(shù)據(jù)丟失問題如何恢復(fù)

下一篇：智能手機(jī)如何始終保持4G網(wǎng)絡(luò)持續(xù)開啟