昨天开始,国内有众多网友反馈中了CTB-Locker敲诈者病毒, 电脑里的文档、图片等重要资料被该病毒加密,同时提示受害者在96小时内支付8比特币(约1万元人民币)赎金,否则文件将永久无法打开。这是CTB-Locker敲诈者病毒首次现身中国,受害者大多是企业高管等商务人士。
这是国内首次出现敲诈比特币的病毒攻击,该病毒敲诈过程具有高隐蔽性、高技术犯罪、敲诈金额高、攻击高端人士、中招危害高的“五高”特点,对一些具有海外业务的企业造成恶劣影响。360QVM团队第一时间对该病毒进行了深入分析。
一、摘要
CTB-Locker病毒通过邮件附件传播,如果用户不小心运行,用户系统中的文档、照片等114种文件会被病毒加密。病毒在用户桌面显示勒索信息,要求向病毒作者支付8比特币赎金才能够解密还原文件内容。点我了解更多勒索病毒
由于获取赎金支付信息需要在Tor网络中进行, Tor网络是随机匿名并且加密传输的,比特币交易也是完全匿名的,这使得病毒作者难以被追踪到,受害者支付赎金的难度也不小。一旦中招,对大多数人来说只能尝试找回被加密文件“以前的版本”,但前提是系统开启了卷影复制或Windows备份服务,否则很难找回文件。
二、样本信息
MD5:a2fe69a12e75744b7088ae13bfbf8260
传播量:估算全国范围内>1000
受影响的操作系统: Windows系统
样本图标:
病毒名称:Malware.QVM20.GEN
截获时间:2015-01-1914:01:02
查杀时间:2015-01-1914:01:02(QVM人工智能引擎在首次捕获样本时即可查杀)
三、技术细节
样本攻击流程如下:
第一步:通过邮件附件发送病毒样本
第二步:
病毒使用了大量垃圾指令用于阻碍样本分析,最终在内存中展开第三步所用的PE文件。
循环解密,写入动态申请的内存中
解密完成,跳转到动态申请的内存中,执行解密后的代码
动态获得系统API
再次申请内存,将自身解密,内存中动态展开第三步所用病毒
第三步:
从获取自身资源,释放并执行RTF文件,让用户误以为打开了文档
RTF文件内容如下:
接下来,样本尝试访问windowsupdate.microsoft.com,判断用户是否可以联网。
如果可以联网,则会循环读取下载列表,下载加密文件
下载列表如下:(部分链接已无法访问)
http://breteau-photographe.com/tmp/pack.tar.gz
http://maisondessources.com/assets/pack.tar.gz
http://breteau-photographe.com/tmp/pack.tar.gz
http://voigt-its.de/fit/pack.tar.gz
http://maisondessources.com/assets/pack.tar.gz
http://jbmsystem.fr/jb/pack.tar.gz
http://pleiade.asso.fr/piwigotest/pack.tar.gz
http://scolapedia.org/histoiredesarts/pack.tar.gz
通过解密pack.tar.gz得到第四步所用的病毒。
第四步:
利用之前相似的方式,动态解密自身,在内存中展开新的PE文件,并且这个文件被加了壳,目的还是阻碍分析。
代码还原后,可以在内存中得到第五步所需的病毒。
第五步:
最终的敲诈功能在第五步中实现。
运行后会将自身拷贝到temp目录中,并且创建计划任务,实现自启动。
远程注入恶意代码到svchost.exe中
判断中毒用户是否有vboxtray.exe、vboxservice.exe、vmtoolsd.exe等虚拟机进程,目的也是为了阻碍分析,增加触发病毒代码的条件。
遍历用户所有文件,包括硬盘、U盘、网络共享等。
判断用户的文件格式是否符合感染目标,共114种文件作为病毒感染目标
pwm,kwm,txt,cer,crt,der,pem,doc,cpp,c,php,js,cs,pas,bas,pl,py,docx,
rtf,docm,xls,xlsx,safe,groups,xlk,xlsb,xlsm,mdb,mdf,dbf,sql,md,dd,
dds,jpe,jpg,jpeg,cr2,raw,rw2,rwl,dwg,dxf,dxg,psd,3fr,accdb,ai,arw,
bay,blend,cdr,crw,dcr,dng,eps,erf,indd,kdc,mef,mrw,nef,nrw,odb,odm,
odp,ods,odt,orf,p12,p7b,p7c,pdd,pdf,pef,pfx,ppt,pptm,pptx,pst,ptx,
r3d,raf,srf,srw,wb2,vsd,wpd,wps,7z,zip,rar,dbx,gdb,bsdr,bsdu,bdcr,
bdcu,bpdr,bpdu,ims,bds,bdd,bdp,gsf,gsd,iss,arp,rik,gdb,fdb,abu,config,rgx
根据计算机启动时间,文件创建,修改,访问时间等信息为随机种子生成KEY。对文件ZLIB压缩之后进行了AES加密:
最终修改受害者壁纸,显示勒索信息:
[作者/360QVM团队,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]
关注我们 分享每日精选文章
不容错过
- 黑客题材电影:算法(ALGORITHM)嘎巴嘎巴2014-12-09
- 安全搜索引擎Shodan(搜蛋)命令行模式使用TIPSaz0ne2015-06-18
- [CVE-2013-1763]Linux内核3.3-3.8本地提权漏洞LinuxSpace2013-03-11
- LastPass再曝多枚高危漏洞,用户账号信息存在被盗风险ArthurKiller2016-07-28
Copyright © 2013 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
0daybank
已有 52 条评论
我写的;)
8个比特币只值1万元RMB了
这个病毒貌似火了,到处都能看到它的新闻。
是。360啥都第一,妙射也第一。
解决方案呢?
@ jt2 装360保平安
@ jt2 给钱包过。。
看不懂,貌似很热闹
好像很吊的样子……我是不是要考虑读计算机专业?
老子1个T的种子啊 你妹
@ 12346 老子2个T的番号啊 你姨
管他是个什么情况,先把围观气氛炒热再说!
身边有多位土豪朋友中枪了
@ Gr4yTrack 暴漏了你喜欢装B的特质
@ 栋爷无可匹敌 自己生活差就莫怪别人装逼,屌丝眼中别人吐口水都是在炫耀今天喝了国外生产的水
@ cnseay 你不怕警察找你?
不懂就别乱点开
比特比这东西现在还有接盘侠?
都没说感染机制。又是基于RTF吗?N月前的漏洞还不打补丁,中了也是该遭。
一个英文也不认识 说的是啥啊
邮件附件真的很多人点击嘛?好想去发个试试啊
小红伞能不能查杀?
现在1比特币换算人民币2452元,8个比特币约1万?我书读的少你不要骗我
@ 逗比大队长 1400多 ok 不是 2452 元
求大神教
比特币这么值钱吗。。。8比特币约等于1W人民币[傻眼]
我们正在查找真凶。
我们正在全力调查,请大家不要随意打开不明邮件附件。
表示担心
最近一年比特币已经贬值很多了,以前价值更高
此病毒只攻击windows系统。安卓上也有敲诈类木马,但没有这么凶残的
看完下了我一跳,病毒居然这么厉害。赶紧取消了对你的关注,以后再也不会收到这么可怕的消息了
360搜索比特币显示【2013年11月19日,一个比特币就相当于6,989元人民币】8个比特币等于1万?我初中没毕业你不要骗我
比特币都一度跌到1000RMB了,还有人指望一个比特币能卖2000+?这孙子估计就算不被21楼日的话,估计再过几个月比特币跌成渣渣也只能赚点稀饭钱了
在某论坛上看到“易语言熊猫烧香变异终结版”源码!可绕过360安全卫士!真的有这样的厉害的病毒吗?
求各种玩腻的0day~~~有的请发hacker_melody@163.com
问题是,cn一般人上不去tor,想交赎金还要先研究怎么上tor,这个病毒没有针对cn做过优化啊
看来这病毒对于中招着最好做做本地化
当时写的时候思路有一点点问题 过几天出个优化版~
@ 十美分 你在哪看到360了? 文章中没有体现360安全卫士啊。
求病毒原件,急,在线等。
不错,逆向高手
我有一疑问,病毒把key保存哪了?key是怎样被上传的???只是知道获取赎金支付信息需要在Tor网络中进行。
中了这 各种不能用 幸好留了今年表好用 求怎么能解密啊
怎么破,电脑今天刚种了这个病毒,全部资料无法打开,后缀名变成dltoxjm
mlgb,老张上几个试剂网站就中了毒,幸亏咱经验丰富,已经把病毒给停止了。
mlgb,老张上几个试剂网站就中了毒,幸亏咱经验丰富,已经把病毒给停止了。
mlgb,老张上几个试剂网站就中了毒,幸亏咱经验丰富,已经把病毒给停止了。
mlgb,老张上几个试剂网站就中了毒,幸亏咱经验丰富,已经把病毒给停止了。
mlgb,老张上几个试剂网站就中了毒,幸亏咱经验丰富,已经把病毒给停止了。
公司外网机中过这个,好在是只用来浏览外网信息,和内网是隔离的,请问这个病毒只会通过邮件的途径传播么?