今年年初，國內(nèi)就有眾多網(wǎng)友反饋中了CTB-Locker敲詐者病毒, 電腦里的文檔,、圖片等重要資料被該病毒加密,，同時(shí)提示受害者在96小時(shí)內(nèi)支付8比特幣（約1萬元人民幣）贖金，否則文件將永久無法打開,。這是CTB- Locker敲詐者病毒首次現(xiàn)身中國,，受害者大多是企業(yè)高管等商務(wù)人士。

本文是對(duì)國內(nèi)首次出現(xiàn)敲詐比特幣的病毒攻擊進(jìn)行分析,，該病毒敲詐過程具有高隱蔽性,、高技術(shù)犯罪、敲詐金額高,、攻擊高端人士、中招危害高的“五高”特點(diǎn),，對(duì)一些具有海外業(yè)務(wù)的企業(yè)造成惡劣影響。360QVM團(tuán)隊(duì)第一時(shí)間對(duì)該病毒進(jìn)行了深入分析,。

• 摘要

CTB-Locker病毒通過郵件附件傳播,，如果用戶不小心運(yùn)行，用戶系統(tǒng)中的文檔,、照片等114種文件會(huì)被病毒加密,。病毒在用戶桌面顯示勒索信息,，要求向病毒作者支付8比特幣贖金才能夠解密還原文件內(nèi)容。

由于獲取贖金支付信息需要在Tor網(wǎng)絡(luò)中進(jìn)行,， Tor網(wǎng)絡(luò)是隨機(jī)匿名并且加密傳輸?shù)模忍貛沤灰滓彩峭耆涿?，這使得病毒作者難以被追蹤到，受害者支付贖金的難度也不小,。一旦中招，對(duì)大多數(shù)人來說只 能嘗試找回被加密文件“以前的版本”,，但前提是系統(tǒng)開啟了卷影復(fù)制或Windows備份服務(wù),，否則很難找回文件。

• 樣本信息

MD5：a2fe69a12e75744b7088ae13bfbf8260

傳播量：估算全國范圍內(nèi)>1000

受影響的操作系統(tǒng)： Windows系統(tǒng)

樣本圖標(biāo)：

病毒名稱：Malware.QVM20.GEN

截獲時(shí)間：2015-01-19 14:01:02

查殺時(shí)間：2015-01-19 14:01:02（QVM人工智能引擎在首次捕獲樣本時(shí)即可查殺）

• 技術(shù)細(xì)節(jié)

樣本攻擊流程如下：

第一步：通過郵件附件發(fā)送病毒樣本

第二步：

病毒使用了大量垃圾指令用于阻礙樣本分析,，最終在內(nèi)存中展開第三步所用的PE文件,。

循環(huán)解密，寫入動(dòng)態(tài)申請(qǐng)的內(nèi)存中

解密完成,，跳轉(zhuǎn)到動(dòng)態(tài)申請(qǐng)的內(nèi)存中,，執(zhí)行解密后的代碼

動(dòng)態(tài)獲得系統(tǒng)API

再次申請(qǐng)內(nèi)存,，將自身解密，內(nèi)存中動(dòng)態(tài)展開第三步所用病毒

第三步:

從獲取自身資源,，釋放并執(zhí)行RTF文件,，讓用戶誤以為打開了文檔

RTF文件內(nèi)容如下：

接下來,樣本嘗試訪問windowsupdate.microsoft.com，判斷用戶是否可以聯(lián)網(wǎng),。

如果可以聯(lián)網(wǎng),，則會(huì)循環(huán)讀取下載列表,，下載加密文件

下載列表如下：（部分鏈接已無法訪問）

http://breteau-photographe.com/tmp/pack.tar.gz

http://maisondessources.com/assets/pack.tar.gz

http://breteau-photographe.com/tmp/pack.tar.gz

http://voigt-its.de/fit/pack.tar.gz

http://maisondessources.com/assets/pack.tar.gz

http://jbmsystem.fr/jb/pack.tar.gz

http://pleiade.asso.fr/piwigotest/pack.tar.gz

http://scolapedia.org/histoiredesarts/pack.tar.gz

通過解密pack.tar.gz得到第四步所用的病毒,。

第四步：

利用之前相似的方式,，動(dòng)態(tài)解密自身,，在內(nèi)存中展開新的PE文件,，并且這個(gè)文件被加了殼,，目的還是阻礙分析,。

代碼還原后,，可以在內(nèi)存中得到第五步所需的病毒,。

第五步:

最終的敲詐功能在第五步中實(shí)現(xiàn),。

運(yùn)行后會(huì)將自身拷貝到temp目錄中,，并且創(chuàng)建計(jì)劃任務(wù),，實(shí)現(xiàn)自啟動(dòng),。

遠(yuǎn)程注入惡意代碼到svchost.exe中

判斷中毒用戶是否有vboxtray.exe、vboxservice.exe,、vmtoolsd.exe等虛擬機(jī)進(jìn)程，目的也是為了阻礙分析,，增加觸發(fā)病毒代碼的條件。

遍歷用戶所有文件,，包括硬盤,、U盤,、網(wǎng)絡(luò)共享等,。

判斷用戶的文件格式是否符合感染目標(biāo),，共114種文件作為病毒感染目標(biāo)

pwm,kwm,txt,cer,crt,der,pem,doc,cpp,c,php,js,cs,pas,bas,pl,py,docx,

rtf,docm,xls,xlsx,safe,groups,xlk,xlsb,xlsm,mdb,mdf,dbf,sql,md,dd,

dds,jpe,jpg,jpeg,cr2,raw,rw2,rwl,dwg,dxf,dxg,psd,3fr,accdb,ai,arw,

bay,blend,cdr,crw,dcr,dng,eps,erf,indd,kdc,mef,mrw,nef,nrw,odb,odm,

odp,ods,odt,orf,p12,p7b,p7c,pdd,pdf,pef,pfx,ppt,pptm,pptx,pst,ptx,

r3d,raf,srf,srw,wb2,vsd,wpd,wps,7z,zip,rar,dbx,gdb,bsdr,bsdu,bdcr,

bdcu,bpdr,bpdu,ims,bds,bdd,bdp,gsf,gsd,iss,arp,rik,gdb,fdb,abu,config,rgx

根據(jù)計(jì)算機(jī)啟動(dòng)時(shí)間,文件創(chuàng)建，修改,，訪問時(shí)間等信息為隨機(jī)種子生成KEY,。對(duì)文件ZLIB壓縮之后進(jìn)行了AES加密：

最終修改受害者壁紙,，顯示勒索信息：

 

• 安全建議

一,、不點(diǎn)擊陌生人發(fā)來的exe,、scr等可執(zhí)行程序,；

二,、重要數(shù)據(jù)做好日常備份,，推薦使用360殺毒“文件堡壘”進(jìn)行保護(hù)，防止文件被誤刪,；

三、及時(shí)更新安全軟件防范病毒,。