恒驰信息安全服务预警通告--敲诈者病毒.pdfVIP

恒驰信息安全服务预警通告 2015.01.29 近日，国内有众多网友反馈中了CTB-Locker 敲诈者病毒, 电脑里的文档、图片等重要资 料被该病毒加密，同时提示受害者在96 小时内支付8 比特币（约1 万元人民币）赎金，否 则文件将永久无法打开。此次 CTB-Locker 敲诈者病毒新变种现身中国，受害者大多是企业 高管等商务人士。该病毒敲诈过程具有高隐蔽性、高技术犯罪、敲诈金额高、攻击高端人士、 中招危害高的“五高”特点。 CTB-Locker 主要利用英文邮件传播，解压缩后是使用了传真 图标的scr 格式可执行程序，对外贸等行业的企业人员具有较强迷惑性，目前已有企业反应 遭到此病毒感染，包括docx、pdf、xlsx、jpg 等文件均被病毒强制添加了随机后缀名，成为 加密文件而无法打开。 摘要 CTB-Locker 病毒通过邮件附件传播，如果用户不小心运行，用户系统中的文档、照片 等114种文件会被病毒加密。病毒在用户桌面显示勒索信息，要求向病毒作者支付8 比特币 赎金才能够解密还原文件内容。 由于获取赎金支付信息需要在Tor 网络中进行，Tor 网络是随机匿名并且加密传输的， 比特币交易也是完全匿名的，这使得病毒作者难以被追踪到，受害者支付赎金的难度也不 小。一旦中招，对大多数人来说只能尝试找回被加密文件“以前的版本”，但前提是系统 开启了卷影复制或Windows 备份服务，否则很难找回文件。 样本信息 MD5：a2fe69a12e75744b7088ae13bfbf8260 传播量：估算全国范围内1000 受影响的操作系统： Windows 系统 样本图标： 病毒名称：Malware.QVM20.GEN 技术细节 样本攻击流程如下： 第一步：通过邮件附件发送病毒样本 第二步： 病毒使用了大量垃圾指令用于阻碍样本分析，最终在内存中展开第三步所用的PE 文件。 循环解密，写入动态申请的内存中 解密完成，跳转到动态申请的内存中，执行解密后的代码 动态获得系统API 再次申请内存，将自身解密，内存中动态展开第三步所用病毒 第三步: 从获取自身资源，释放并执行RTF 文件，让用户误以为打开了文档 RTF 文件内容如下： 接下来,样本尝试访问，判断用户是否可以联网。 如果可以联网，则会循环读取下载列表，下载加密文件 下载列表如下：（部分链接已无法访问） /tmp/pack.tar.gz /assets/pack.tar.gz /tmp/pack.tar.gz http://voigt-its.de/fit/pack.tar.gz /assets/pack.tar.gz http://jbmsystem.fr/jb/pack.tar.gz http://pleiade.asso.fr/piwigotest/pack.tar.gz /histoiredesarts/pack.tar.gz 通过解密pack.tar.gz 得到第四步所用的病毒。 第四步： 利用之前相似的方式，动态解密自身，在内存中展开新的PE 文件，并且这个文件被加 了壳，目的还是阻碍分析。 代码还原后，可以在内存中得到第五步所需的病毒。 第五步: 最终的敲诈功能在第五步中实现。 运行后会将自身拷贝到temp 目录中，并且创建计划任务，实现自启动。 远程注入恶意代码到svchost.exe 中 判断中毒用户是否有vboxtray.exe、vboxservice.exe、vmtoolsd.exe 等虚拟机进程， 目的也是为了阻碍分析，增加触发病毒代码的条件。 遍历用户所有文件，包括硬盘、U 盘、网络共享等。 判断用户的文件格式是否符合感染目标，共114 种文件作为病毒感染目标 pwm,kwm,txt,cer,crt,der,pem,doc,cpp,c,php,js,cs,pas,bas,pl,py,docx, rtf,docm,xls,xlsx,safe,groups,xlk,xlsb,xlsm,mdb,mdf,dbf,sql,md,dd, dds,jpe,jpg,jpeg,cr2,raw,rw2,rwl,dwg,dxf,dxg,psd,3fr,accdb,ai,arw, bay,blend,cdr,crw,dcr,dng