最近，國內(nèi)有眾多網(wǎng)友反饋中了CTB-Locker敲詐者病毒, 電腦里的文檔、圖片等重要資料被該病毒加密，同時提示受害者在96小時內(nèi)支付8比特幣（約1萬元人民幣）贖金，否則文件將永久無法打開。這是CTB-Locker敲詐者病毒首次現(xiàn)身中國，受害者大多是企業(yè)高管等商務(wù)人士。

這是國內(nèi)首次出現(xiàn)敲詐比特幣的病毒攻擊，該病毒敲詐過程具有高隱蔽性、高技術(shù)犯罪、敲詐金額高、攻擊高端人士、中招危害高的“五高”特點，對一些具有海外業(yè)務(wù)的企業(yè)造成惡劣影響。

• 摘要

CTB-Locker病毒通過郵件附件傳播，如果用戶不小心運行，用戶系統(tǒng)中的文檔、照片等114種文件會被病毒加密。病毒在用戶桌面顯示勒索信息，要求向病毒作者支付8比特幣贖金才能夠解密還原文件內(nèi)容。

由于獲取贖金支付信息需要在Tor網(wǎng)絡(luò)中進行， Tor網(wǎng)絡(luò)是隨機匿名并且加密傳輸?shù)模忍貛沤灰滓彩峭耆涿?，這使得病毒作者難以被追蹤到，受害者支付贖金的難度也不小。一旦中招，對大多數(shù)人來說只能嘗試找回被加密文件“以前的版本”，但前提是系統(tǒng)開啟了卷影復(fù)制或Windows備份服務(wù)，否則很難找回文件。

• 樣本信息

MD5：a2fe69a12e75744b7088ae13bfbf8260

傳播量：估算全國范圍內(nèi)>1000

受影響的操作系統(tǒng)： Windows系統(tǒng)

樣本圖標：

病毒名稱：Malware.QVM20.GEN

截獲時間：2015-01-19 14:01:02

查殺時間：2015-01-19 14:01:02（QVM人工智能引擎在首次捕獲樣本時即可查殺）

• 技術(shù)細節(jié)

樣本攻擊流程如下：

第一步：通過郵件附件發(fā)送病毒樣本

第二步：

病毒使用了大量垃圾指令用于阻礙樣本分析，最終在內(nèi)存中展開第三步所用的PE文件。

循環(huán)解密，寫入動態(tài)申請的內(nèi)存中

解密完成，跳轉(zhuǎn)到動態(tài)申請的內(nèi)存中，執(zhí)行解密后的代碼

動態(tài)獲得系統(tǒng)API

再次申請內(nèi)存，將自身解密，內(nèi)存中動態(tài)展開第三步所用病毒

第三步:

從獲取自身資源，釋放并執(zhí)行RTF文件，讓用戶誤以為打開了文檔

RTF文件內(nèi)容如下：

接下來,樣本嘗試訪問windowsupdate.microsoft.com，判斷用戶是否可以聯(lián)網(wǎng)。

如果可以聯(lián)網(wǎng)，則會循環(huán)讀取下載列表，下載加密文件

通過解密pack.tar.gz得到第四步所用的病毒。

第四步：

利用之前相似的方式，動態(tài)解密自身，在內(nèi)存中展開新的PE文件，并且這個文件被加了殼，目的還是阻礙分析。

代碼還原后，可以在內(nèi)存中得到第五步所需的病毒。

第五步:

最終的敲詐功能在第五步中實現(xiàn)。

運行后會將自身拷貝到temp目錄中，并且創(chuàng)建計劃任務(wù)，實現(xiàn)自啟動。

遠程注入惡意代碼到svchost.exe中

判斷中毒用戶是否有vboxtray.exe、vboxservice.exe、vmtoolsd.exe等虛擬機進程，目的也是為了阻礙分析，增加觸發(fā)病毒代碼的條件。

遍歷用戶所有文件，包括硬盤、U盤、網(wǎng)絡(luò)共享等。

判斷用戶的文件格式是否符合感染目標，共114種文件作為病毒感染目標

pwm,kwm,txt,cer,crt,der,pem,doc,cpp,c,php,js,cs,pas,bas,pl,py,docx,

rtf,docm,xls,xlsx,safe,groups,xlk,xlsb,xlsm,mdb,mdf,dbf,sql,md,dd,

dds,jpe,jpg,jpeg,cr2,raw,rw2,rwl,dwg,dxf,dxg,psd,3fr,accdb,ai,arw,

bay,blend,cdr,crw,dcr,dng,eps,erf,indd,kdc,mef,mrw,nef,nrw,odb,odm,

odp,ods,odt,orf,p12,p7b,p7c,pdd,pdf,pef,pfx,ppt,pptm,pptx,pst,ptx,

r3d,raf,srf,srw,wb2,vsd,wpd,wps,7z,zip,rar,dbx,gdb,bsdr,bsdu,bdcr,

bdcu,bpdr,bpdu,ims,bds,bdd,bdp,gsf,gsd,iss,arp,rik,gdb,fdb,abu,config,rgx

根據(jù)計算機啟動時間,文件創(chuàng)建，修改，訪問時間等信息為隨機種子生成KEY。對文件ZLIB壓縮之后進行了AES加密：

最終修改受害者壁紙，顯示勒索信息：

• 安全建議

一、不點擊陌生人發(fā)來的exe、scr等可執(zhí)行程序；

二、重要數(shù)據(jù)做好日常備份，推薦使用360殺毒“文件堡壘”進行保護，防止文件被誤刪；

三、及時更新安全軟件防范病毒。

上一篇：電腦各種數(shù)據(jù)丟失問題如何恢復(fù)

下一篇：智能手機如何始終保持4G網(wǎng)絡(luò)持續(xù)開啟