<object id="w9hdn"></object>

    <wbr id="w9hdn"></wbr>
    <form id="w9hdn"></form>

    <sub id="w9hdn"><table id="w9hdn"></table></sub>
  • 咨询电话:0571-28284671/13
    服务热线:400-675-9388
    业内新闻

    CTB-Locker“比特币敲诈者”病毒分析

    发布时间:2016-08-18     来源:华军数据恢复中心     [打印]

    最近,国内有众多网友反馈中了CTB-Locker敲诈者病毒, 电脑里的文档、图片等重要资料被该病毒加密,同时提示受害者在96小时内支付8比特币(约1万元人民币)赎金,否则文件将永久无法打开。这是CTB-Locker敲诈者病毒首次现身中国,受害者大多是企业高管等商务人士。

    这是国内首次出现敲诈比特币的病毒攻击,该病毒敲诈过程具有高隐蔽性、高技术犯罪、敲诈金额高、攻击高端人士、中招危害高的“五高”特点,对一些具有海外业务的企业造成恶劣影响。

    • 摘要

    CTB-Locker病毒通过邮件附件传播,如果用户不小心运行,用户系统中的文档、照片等114种文件会被病毒加密。病毒在用户桌面显示勒索信息,要求向病毒作者支付8比特币赎金才能够解密还原文件内容。

    由于获取赎金支付信息需要在Tor网络中进行, Tor网络是随机匿名并且加密传输的,比特币交易也是完全匿名的,这使得病毒作者难以被追踪到,受害者支付赎金的难度也不小。一旦中招,对大多数人来说只能尝试找回被加密文件“以前的版本”,但前提是系统开启了卷影复制或Windows备份服务,否则很难找回文件。

    • 样本信息

    MD5:a2fe69a12e75744b7088ae13bfbf8260

    传播量:估算全国范围内>1000

    受影响的操作系统: Windows系统

    样本图标:1

    病毒名称:Malware.QVM20.GEN

    截获时间:2015-01-19 14:01:02

    查杀时间:2015-01-19 14:01:02(QVM人工智能引擎在首次捕获样本时即可查杀)

    2

    • 技术细节

    样本攻击流程如下:

    第一步:通过邮件附件发送病毒样本

    3

    第二步:

    病毒使用了大量垃圾指令用于阻碍样本分析,最终在内存中展开第三步所用的PE文件。

    4

    循环解密,写入动态申请的内存中

    5

    解密完成,跳转到动态申请的内存中,执行解密后的代码

    6

    7

    动态获得系统API

    再次申请内存,将自身解密,内存中动态展开第三步所用病毒

    8

    第三步:

    从获取自身资源,释放并执行RTF文件,让用户误以为打开了文档

    9

    10

    RTF文件内容如下:

    11

    接下来,样本尝试访问windowsupdate.microsoft.com,判断用户是否可以联网。

    12

    如果可以联网,则会循环读取下载列表,下载加密文件

    通过解密pack.tar.gz得到第四步所用的病毒。

    13

    14

    第四步:

    利用之前相似的方式,动态解密自身,在内存中展开新的PE文件,并且这个文件被加了壳,目的还是阻碍分析。

    15

    代码还原后,可以在内存中得到第五步所需的病毒。

    16

    第五步:

    最终的敲诈功能在第五步中实现。

    运行后会将自身拷贝到temp目录中,并且创建计划任务,实现自启动。

    远程注入恶意代码到svchost.exe中

    判断中毒用户是否有vboxtray.exe、vboxservice.exe、vmtoolsd.exe等虚拟机进程,目的也是为了阻碍分析,增加触发病毒代码的条件。

    遍历用户所有文件,包括硬盘、U盘、网络共享等。

    判断用户的文件格式是否符合感染目标,共114种文件作为病毒感染目标

    pwm,kwm,txt,cer,crt,der,pem,doc,cpp,c,php,js,cs,pas,bas,pl,py,docx,

    rtf,docm,xls,xlsx,safe,groups,xlk,xlsb,xlsm,mdb,mdf,dbf,sql,md,dd,

    dds,jpe,jpg,jpeg,cr2,raw,rw2,rwl,dwg,dxf,dxg,psd,3fr,accdb,ai,arw,

    bay,blend,cdr,crw,dcr,dng,eps,erf,indd,kdc,mef,mrw,nef,nrw,odb,odm,

    odp,ods,odt,orf,p12,p7b,p7c,pdd,pdf,pef,pfx,ppt,pptm,pptx,pst,ptx,

    r3d,raf,srf,srw,wb2,vsd,wpd,wps,7z,zip,rar,dbx,gdb,bsdr,bsdu,bdcr,

    bdcu,bpdr,bpdu,ims,bds,bdd,bdp,gsf,gsd,iss,arp,rik,gdb,fdb,abu,config,rgx

    17

    根据计算机启动时间,文件创建,修改,访问时间等信息为随机种子生成KEY。对文件ZLIB压缩之后进行了AES加密:

    18

    19

    20

    最终修改受害者壁纸,显示勒索信息:

    21

    22

    23

     

    • 安全建议

    一、不点击陌生人发来的exe、scr等可执行程序;

    二、重要数据做好日常备份,推荐使用360杀毒“文件堡垒”进行保护,防止文件被误删;

    三、及时更新安全软件防范病毒。

    网站地图 |  关于我们 |  合作伙伴 |  快递运输 |  数据博客 |  数据论坛
    Copyright @ 2013-2023 杭州华军科技有限公司, All rights reserved. 360网站安全检测平台
    杭州华军科技有限公司 版权 所有 京ICP备05073010号-1

    管家婆三码