压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　昨天開始，國內(nèi)有眾多網(wǎng)友反饋中了CTB-Locker敲詐者病毒， 電腦里的文檔、圖片等重要資料被該病毒加密，同時(shí)提示受害者在96小時(shí)內(nèi)支付8比特幣（約1萬元人民幣）贖金，否則文件將永久無法打開。這是CTB-Locker敲詐者病毒首次現(xiàn)身中國，受害者大多是企業(yè)高管等商務(wù)人士。

　　這是國內(nèi)首次出現(xiàn)敲詐比特幣的病毒攻擊，該病毒敲詐過程具有高隱蔽性、高技術(shù)犯罪、敲詐金額高、攻擊高端人士、中招危害高的“五高”特點(diǎn)，對(duì)一些具有海外業(yè)務(wù)的企業(yè)造成惡劣影響。360QVM團(tuán)隊(duì)第一時(shí)間對(duì)該病毒進(jìn)行了深入分析。

　　一、摘要

　　CTB-Locker病毒通過郵件附件傳播，如果用戶不小心運(yùn)行，用戶系統(tǒng)中的文檔、照片等114種文件會(huì)被病毒加密。病毒在用戶桌面顯示勒索信息，要求向病毒作者支付8比特幣贖金才能夠解密還原文件內(nèi)容。點(diǎn)我了解更多勒索病毒

　　由于獲取贖金支付信息需要在Tor網(wǎng)絡(luò)中進(jìn)行， Tor網(wǎng)絡(luò)是隨機(jī)匿名并且加密傳輸?shù)模忍貛沤灰滓彩峭耆涿模@使得病毒作者難以被追蹤到，受害者支付贖金的難度也不小。一旦中招，對(duì)大多數(shù)人來說只能嘗試找回被加密文件“以前的版本”，但前提是系統(tǒng)開啟了卷影復(fù)制或Windows備份服務(wù)，否則很難找回文件。

　　二、樣本信息

　　MD5：a2fe69a12e75744b7088ae13bfbf8260

　　傳播量：估算全國范圍內(nèi)>1000

　　受影響的操作系統(tǒng)： Windows系統(tǒng)

　　樣本圖標(biāo)：

　　病毒名稱：Malware.QVM20.GEN

　　截獲時(shí)間：2015-01-1914：01：02

　　查殺時(shí)間：2015-01-1914：01：02（QVM人工智能引擎在首次捕獲樣本時(shí)即可查殺）

　　三、技術(shù)細(xì)節(jié)

　　樣本攻擊流程如下：

　　第一步：通過郵件附件發(fā)送病毒樣本

　　第二步：

　　病毒使用了大量垃圾指令用于阻礙樣本分析，最終在內(nèi)存中展開第三步所用的PE文件。

　　循環(huán)解密，寫入動(dòng)態(tài)申請(qǐng)的內(nèi)存中

　　解密完成，跳轉(zhuǎn)到動(dòng)態(tài)申請(qǐng)的內(nèi)存中，執(zhí)行解密后的代碼

　　動(dòng)態(tài)獲得系統(tǒng)API

　　再次申請(qǐng)內(nèi)存，將自身解密，內(nèi)存中動(dòng)態(tài)展開第三步所用病毒

　　第三步：

　　從獲取自身資源，釋放并執(zhí)行RTF文件，讓用戶誤以為打開了文檔

　　RTF文件內(nèi)容如下：

　　接下來，樣本嘗試訪問windowsupdate.microsoft.com，判斷用戶是否可以聯(lián)網(wǎng)。

　　如果可以聯(lián)網(wǎng)，則會(huì)循環(huán)讀取下載列表，下載加密文件

　　下載列表如下：（部分鏈接已無法訪問）

　　http：//breteau-photographe.com/tmp/pack.tar.gz

　　http：//maisondessources.com/assets/pack.tar.gz

　　http：//breteau-photographe.com/tmp/pack.tar.gz

　　http：//voigt-its.de/fit/pack.tar.gz

　　http：//maisondessources.com/assets/pack.tar.gz

　　http：//jbmsystem.fr/jb/pack.tar.gz

　　http：//pleiade.asso.fr/piwigotest/pack.tar.gz

　　http：//scolapedia.org/histoiredesarts/pack.tar.gz

　　通過解密pack.tar.gz得到第四步所用的病毒。

　　第四步：

　　利用之前相似的方式，動(dòng)態(tài)解密自身，在內(nèi)存中展開新的PE文件，并且這個(gè)文件被加了殼，目的還是阻礙分析。

　　代碼還原后，可以在內(nèi)存中得到第五步所需的病毒。

　　第五步：

　　最終的敲詐功能在第五步中實(shí)現(xiàn)。

　　運(yùn)行后會(huì)將自身拷貝到temp目錄中，并且創(chuàng)建計(jì)劃任務(wù)，實(shí)現(xiàn)自啟動(dòng)。

　　遠(yuǎn)程注入惡意代碼到svchost.exe中

　　判斷中毒用戶是否有vboxtray.exe、vboxservice.exe、vmtoolsd.exe等虛擬機(jī)進(jìn)程，目的也是為了阻礙分析，增加觸發(fā)病毒代碼的條件。

　　遍歷用戶所有文件，包括硬盤、U盤、網(wǎng)絡(luò)共享等。

　　判斷用戶的文件格式是否符合感染目標(biāo)，共114種文件作為病毒感染目標(biāo)

　　pwm，kwm，txt，cer，crt，der，pem，doc，cpp，c，php，js，cs，pas，bas，pl，py，docx，

　　rtf，docm，xls，xlsx，safe，groups，xlk，xlsb，xlsm，mdb，mdf，dbf，sql，md，dd，

　　dds，jpe，jpg，jpeg，cr2，raw，rw2，rwl，dwg，dxf，dxg，psd，3fr，accdb，ai，arw，

　　bay，blend，cdr，crw，dcr，dng，eps，erf，indd，kdc，mef，mrw，nef，nrw，odb，odm，

　　odp，ods，odt，orf，p12，p7b，p7c，pdd，pdf，pef，pfx，ppt，pptm，pptx，pst，ptx，

　　r3d，raf，srf，srw，wb2，vsd，wpd，wps，7z，zip，rar，dbx，gdb，bsdr，bsdu，bdcr，

　　bdcu，bpdr，bpdu，ims，bds，bdd，bdp，gsf，gsd，iss，arp，rik，gdb，fdb，abu，config，rgx

　　根據(jù)計(jì)算機(jī)啟動(dòng)時(shí)間，文件創(chuàng)建，修改，訪問時(shí)間等信息為隨機(jī)種子生成KEY。對(duì)文件ZLIB壓縮之后進(jìn)行了AES加密：

　　最終修改受害者壁紙，顯示勒索信息：