ctb-locker

ctb-locker
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
首次现身中国的CTB-Locker“比特币敲诈者”病毒分析 360安全卫士认证厂商2015-01-21共863687人围观 ，发现 52 个不明物体 漏洞
昨天开始，国内有众多网友反馈中了CTB-Locker敲诈者病毒, 电脑里的文档、图片等重要资料被该病毒加密，同时提示受害者在96小时内支付8比特币（约1万元人民币）赎金，否则文件将永久无法打开。这是CTB-Locker敲诈者病毒首次现身中国，受害者大多是企业高管等商务人士。

这是国内首次出现敲诈比特币的病毒攻击，该病毒敲诈过程具有高隐蔽性、高技术犯罪、敲诈金额高、攻击高端人士、中招危害高的“五高”特点，对一些具有海外业务的企业造成恶劣影响。360QVM团队第一时间对该病毒进行了深入分析。

一、摘要

CTB-Locker病毒通过邮件附件传播，如果用户不小心运行，用户系统中的文档、照片等114种文件会被病毒加密。病毒在用户桌面显示勒索信息，要求向病毒作者支付8比特币赎金才能够解密还原文件内容。点我了解更多勒索病毒

由于获取赎金支付信息需要在Tor网络中进行， Tor网络是随机匿名并且加密传输的，比特币交易也是完全匿名的，这使得病毒作者难以被追踪到，受害者支付赎金的难度也不小。一旦中招，对大多数人来说只能尝试找回被加密文件“以前的版本”，但前提是系统开启了卷影复制或Windows备份服务，否则很难找回文件。

二、样本信息

MD5：a2fe69a12e75744b7088ae13bfbf8260

传播量：估算全国范围内>1000

受影响的操作系统： Windows系统

样本图标：

image001.png

病毒名称：Malware.QVM20.GEN

截获时间：2015-01-1914:01:02

查杀时间：2015-01-1914:01:02（QVM人工智能引擎在首次捕获样本时即可查杀）

image002.png

三、技术细节

样本攻击流程如下：

第一步：通过邮件附件发送病毒样本

image004.png

第二步：

病毒使用了大量垃圾指令用于阻碍样本分析，最终在内存中展开第三步所用的PE文件。

image005.png

循环解密，写入动态申请的内存中

image007.png

解密完成，跳转到动态申请的内存中，执行解密后的代码

image009.png

image011.png

动态获得系统API

再次申请内存，将自身解密，内存中动态展开第三步所用病毒

image012.png

第三步:

从获取自身资源，释放并执行RTF文件，让用户误以为打开了文档

image014.png

image016.png

RTF文件内容如下：

image018.png

接下来,样本尝试访问windowsupdate.microsoft.com，判断用户是否可以联网。
如果可以联网，则会循环读取下载列表，下载加密文件

image020.png

下载列表如下：（部分链接已无法访问）
http://breteau-photographe.com/tmp/pack.tar.gz

http://maisondessources.com/assets/pack.tar.gz

http://breteau-photographe.com/tmp/pack.tar.gz

http://voigt-its.de/fit/pack.tar.gz

http://maisondessources.com/assets/pack.tar.gz

http://jbmsystem.fr/jb/pack.tar.gz

http://pleiade.asso.fr/piwigotest/pack.tar.gz

http://scolapedia.org/histoiredesarts/pack.tar.gz

通过解密pack.tar.gz得到第四步所用的病毒。

image022.png

image024.png

第四步：

利用之前相似的方式，动态解密自身，在内存中展开新的PE文件，并且这个文件被加了壳，目的还是阻碍分析。

image025.png

代码还原后，可以在内存中得到第五步所需的病毒。

image027.png

第五步:

最终的敲诈功能在第五步中实现。

运行后会将自身拷贝到temp目录中，并且创建计划任务，实现自启动。

远程注入恶意代码到svchost.exe中

判断中毒用户是否有vboxtray.exe、vboxservice.exe、vmtoolsd.exe等虚拟机进程，目的也是为了阻碍分析，增加触发病毒代码的条件。

遍历用户所有文件，包括硬盘、U盘、网络共享等。

判断用户的文件格式是否符合感染目标，共114种文件作为病毒感染目标

pwm,kwm,txt,cer,crt,der,pem,doc,cpp,c,php,js,cs,pas,bas,pl,py,docx,
rtf,docm,xls,xlsx,safe,groups,xlk,xlsb,xlsm,mdb,mdf,dbf,sql,md,dd,
dds,jpe,jpg,jpeg,cr2,raw,rw2,rwl,dwg,dxf,dxg,psd,3fr,accdb,ai,arw,
bay,blend,cdr,crw,dcr,dng,eps,erf,indd,kdc,mef,mrw,nef,nrw,odb,odm,
odp,ods,odt,orf,p12,p7b,p7c,pdd,pdf,pef,pfx,ppt,pptm,pptx,pst,ptx,
r3d,raf,srf,srw,wb2,vsd,wpd,wps,7z,zip,rar,dbx,gdb,bsdr,bsdu,bdcr,
bdcu,bpdr,bpdu,ims,bds,bdd,bdp,gsf,gsd,iss,arp,rik,gdb,fdb,abu,config,rgx
image028.png

根据计算机启动时间,文件创建，修改，访问时间等信息为随机种子生成KEY。对文件ZLIB压缩之后进行了AES加密:

image030.png

image032.png

image034.png

最终修改受害者壁纸，显示勒索信息：

image035.png

image037.png

image039.png

[作者/360QVM团队，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）]

360安全卫士
360安全卫士
207 篇文章
等级： 8级
||
上一篇：全球最大域名提供商GoDaddy存在跨站请求伪造（CSRF）漏洞下一篇：CVE-2015-0393：Oracle发布严重安全漏洞预警
这些评论亮了

cnseay (1级)回复
我写的；）
)226(亮了

M4ster (1级)'">biubiubiu回复
8个比特币只值1万元RMB了 :-(
)119(亮了

12346 回复
老子1个T的种子啊 你妹
)97(亮了

十美分 回复
是。360啥都第一，妙射也第一。
)86(亮了

jt2 (1级)回复
解决方案呢？
)68(亮了
发表评论已有 52 条评论

cnseay (1级) 2015-01-21回复 1楼
我写的；）

亮了(226)

M4ster (1级) '">biubiubiu 2015-01-21回复 2楼
8个比特币只值1万元RMB了 :-(

亮了(119)

JackFree (8级) 冒个泡，表示我还关注着FB······ 2015-01-21回复 3楼
这个病毒貌似火了，到处都能看到它的新闻。

亮了(54)

十美分 2015-01-21回复 4楼
是。360啥都第一，妙射也第一。

亮了(86)

jt2 (1级) 2015-01-21回复 5楼
解决方案呢？

亮了(68)

路过 2015-01-23回复
@ jt2 装360保平安

亮了(3)

coder (1级) 2015-02-13回复
@ jt2 给钱包过。。

亮了(1)

10086 2015-01-21回复 6楼
看不懂，貌似很热闹

亮了(30)

未开化 (1级) 2015-01-21回复 7楼
好像很吊的样子……我是不是要考虑读计算机专业？

亮了(39)

12346 2015-01-21回复 8楼
老子1个T的种子啊 你妹

亮了(97)

824561112@qq.com 2015-01-22回复
@ 12346 老子2个T的番号啊 你姨

亮了(13)

随风 (1级) 2015-01-21回复 9楼
:roll:

亮了(15)

余此夜妄 2015-01-21回复 10楼
管他是个什么情况，先把围观气氛炒热再说！

亮了(27)

Gr4yTrack 2015-01-21回复 11楼
身边有多位土豪朋友中枪了

亮了(40)

栋爷无可匹敌 2015-01-22回复
@ Gr4yTrack 暴漏了你喜欢装B的特质

亮了(25)

瞧不起你 2015-01-22回复
@ 栋爷无可匹敌 自己生活差就莫怪别人装逼，屌丝眼中别人吐口水都是在炫耀今天喝了国外生产的水

亮了(22)

喑苻＆.ｄě嫙侓ゞ (1级) 2015-01-22回复 12楼
@ cnseay 你不怕警察找你？

亮了(10)

喑苻＆.ｄě嫙侓ゞ (1级) 2015-01-22回复 13楼
不懂就别乱点开

亮了(13)

eeeeee 2015-01-22回复 14楼
比特比这东西现在还有接盘侠？

亮了(14)

langyajiekou (6级) 2015-01-22回复 15楼
都没说感染机制。又是基于RTF吗？N月前的漏洞还不打补丁，中了也是该遭。

亮了(16)

蓝蓝 2015-01-22回复 16楼
一个英文也不认识 说的是啥啊

亮了(20)

disappear (1级) 天气真好！走，去女澡堂洗澡去 2015-01-22回复 17楼
邮件附件真的很多人点击嘛？好想去发个试试啊

亮了(12)

freebuffzck (4级) 2015-01-22回复 18楼
小红伞能不能查杀？

亮了(15)

逗比大队长 2015-01-22回复 19楼
现在1比特币换算人民币2452元，8个比特币约1万？我书读的少你不要骗我

亮了(22)

不用谢 2015-01-22回复
@ 逗比大队长 1400多 ok 不是 2452 元

亮了(8)

我的逗比闪亮亮 (1级) 2015-01-22回复 20楼
求大神教

亮了(7)

她入我心折我梦灬 2015-01-22回复 21楼
比特币这么值钱吗。。。8比特币约等于1W人民币[傻眼]

亮了(2)

中华人民共和国网警察 2015-01-22回复 22楼
我们正在查找真凶。

亮了(6)

中华人民共和国网警 2015-01-22回复 23楼
我们正在全力调查，请大家不要随意打开不明邮件附件。

亮了(5)

人 2015-01-22回复 24楼
表示担心

亮了(4)

360安全卫士 2015-01-22回复 25楼
最近一年比特币已经贬值很多了，以前价值更高

亮了(2)

360安全卫士 2015-01-22回复 26楼
此病毒只攻击windows系统。安卓上也有敲诈类木马，但没有这么凶残的

亮了(3)

心比胃高 2015-01-22回复 27楼
看完下了我一跳，病毒居然这么厉害。赶紧取消了对你的关注，以后再也不会收到这么可怕的消息了

亮了(1)

吉岡唯Yoshioka 2015-01-22回复 28楼
360搜索比特币显示【2013年11月19日，一个比特币就相当于6,989元人民币】8个比特币等于1万？我初中没毕业你不要骗我吃惊

亮了(1)

ssdf 2015-01-22回复 29楼
比特币都一度跌到1000RMB了，还有人指望一个比特币能卖2000+？这孙子估计就算不被21楼日的话，估计再过几个月比特币跌成渣渣也只能赚点稀饭钱了

亮了(3)

III轻音 2015-01-22回复 30楼
在某论坛上看到“易语言熊猫烧香变异终结版”源码！可绕过360安全卫士！真的有这样的厉害的病毒吗？吃惊

亮了(2)

Die丶melody (1级) 2015-01-23回复 31楼
求各种玩腻的0day~~~有的请发hacker_melody@163.com

亮了(3)

pass 2015-01-23回复 32楼
问题是，cn一般人上不去tor，想交赎金还要先研究怎么上tor，这个病毒没有针对cn做过优化啊

亮了(6)

YMSZ (2级) 2015-01-23回复 33楼
看来这病毒对于中招着最好做做本地化

亮了(3)

J.Smith 2015-01-23回复 34楼
当时写的时候思路有一点点问题 过几天出个优化版~

亮了(3)

虾米 2015-01-24回复 35楼
@ 十美分 你在哪看到360了？ 文章中没有体现360安全卫士啊。

亮了(4)

不愿透露性别的王先生 2015-01-24回复 36楼
求病毒原件，急，在线等。

亮了(4)

BlackhorseXIII (2级) 2015-01-25回复 37楼
不错，逆向高手

亮了(3)

hexbindec838 (1级) 2015-01-26回复 38楼
我有一疑问，病毒把key保存哪了？key是怎样被上传的？？？只是知道获取赎金支付信息需要在Tor网络中进行。

亮了(3)

MeiYu-LU 2015-01-28回复 39楼
中了这 各种不能用 幸好留了今年表好用 求怎么能解密啊

亮了(2)

小小乐_11 2015-01-29回复 40楼
怎么破，电脑今天刚种了这个病毒，全部资料无法打开，后缀名变成dltoxjm

亮了(3)

乃光自明 2015-01-29回复 41楼
mlgb,老张上几个试剂网站就中了毒，幸亏咱经验丰富，已经把病毒给停止了。

亮了(2)

张任叔 2015-01-29回复 42楼
mlgb,老张上几个试剂网站就中了毒，幸亏咱经验丰富，已经把病毒给停止了。

亮了(2)

张忍之 2015-01-29回复 43楼
mlgb,老张上几个试剂网站就中了毒，幸亏咱经验丰富，已经把病毒给停止了。

亮了(2)

向华张 2015-01-29回复 44楼
mlgb,老张上几个试剂网站就中了毒，幸亏咱经验丰富，已经把病毒给停止了。

亮了(2)

张公展 2015-01-29回复 45楼
mlgb,老张上几个试剂网站就中了毒，幸亏咱经验丰富，已经把病毒给停止了。

亮了(2)

zhangyusai (1级) 2016-06-22回复 46楼
公司外网机中过这个，好在是只用来浏览外网信息，和内网是隔离的，请问这个病毒只会通过邮件的途径传播么？

亮了(1)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
360安全卫士
360安全卫士认证厂商

360安全卫士官方账号

207
文章数
10
评论数
最近文章
十张图看懂Windows平台挖矿木马攻击趋势
2018.11.09

远控木马盗用网易官方签名
2018.10.24

幽灵间谍：TrickBot新变种运用“无文件”技术发起攻击
2018.08.23

浏览更多
相关阅读
Samba 4.x.x全版本存在命令执行漏洞从一道CTF题看智能合约的安全问题技术讨论 | Windows全版本提权之Win10系列解析CVE-2017-11882新动态：利用AutoIT脚本释放DarkComet后门如何使用类型混淆（CVE-2018-12794）在Adobe Reader执行代码
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank