“比特币敲诈者病毒“CTB”

本篇文章1556字，读完约4分钟

从昨天开始，国内很多网民反馈ctb-locker敲诈者病毒，电脑文件和照片等重要资料被该病毒加密，在96小时内向受害者支付8比特币(约1万人民币)的赎金。 否则，文件将永远无法打开。 这是ctb-locker敲诈者病毒首次出现在中国，受害者大多是公司高管等生意人。 这是国内第一次敲诈比特币的病毒攻击，这个病毒敲诈过程具有高隐蔽性、高科技犯罪、敲诈金额高、攻击高端人士、中等危害高“五高”的优势，对拥有海外业务的公司产生不利影响。 360qvm团队在第一时间深入分析了这种病毒。 摘要ctb-locker病毒通过电子邮件附件分发，如果客户不小心运行，病毒会加密客户系统中的114种文件(如文档、照片等)。 病毒在顾客的桌面上显示恐吓新闻，要求病毒作者通过支付8比特币的赎金来解密还原文件的副本。 因为获得赎金支付新闻需要在tor互联网上进行，tor互联网以随机匿名同时加密传输，比特币交易也完全匿名，所以病毒作者很难被跟踪，受害者支付赎金也很困难， 招募后，对很多人来说只能恢复加密的文件“以前的版本”。 但是，前提是卷影复制或windows备份服务已打开。 否则，很难恢复文件。 新闻MD5:a2f E69 a 12e 75744 b 7088 AE 13 BFBF 8260分发量:估计全国1000个受影响的操作系统: windows系统示例图标: 病毒名称: malware.qvm20.gen 技术详细的样本攻击流程如下。 第一步:用邮件附件发送病毒样本 步骤2 :病毒为了阻碍样品的分解而采用大量的垃圾指令，最终在存储器中展开步骤3中使用的pe文件。 循环解密，写入动态申请的存储器 解码完成，跳到动态申请的存储器，执行解码的代码 动态获取系统api，再次申请内存，解密自己，在内存中动态部署第三步使用的病毒 第3步:从获取自己的资源，释放并运行rtf文件，让客户误解为打开了文档 rtf文档的副本如下。 然后，示例尝试访问windowsupdate.microsoft以评估客户是否可以连接到网络。 如果可以连接到网络，则循环读取下载列表加密文件下载列表如下:(某些链接不可访问) bre teau-Photographe/TMP/Pack.TAR.GZMA pack.tar.gzbreteau-photograpion fit/Pack.tar.gzmaisondessources/assets/Pack.tar.gzjbmsystem.FR/JB 第四步:以与以前相同的方式动态解密自己，将新的pe文件部署到内存中，同时向该文件中添加shell，妨碍分析。 代码恢复后，在步骤5中可以获得所需的病毒。 第五步:最终敲诈功能在第五步实现。 运行后，将自己复制到temp目录中，同时创建计划任务，实现自启动。 远程向svchost.exe注入恶意代码，评估中毒客户是否具有vboxtray.exe、vboxservice.exe、vmtoolsd.exe等虚拟机进程，妨碍分析，防止病毒程序 遍历客户的所有文件，包括硬盘、USB内存和互联网共享。 评估客户的文件样式是否适合受感染目标，共计114种文件是病毒感染目标的pwm、kwm、txt、cer、crt、DT、DEM、cpp、php、js、cs、pas、S、bas、 mdf，dbf，sql，dd，dds，jpe，jpg，jpeg， raf，srf，srw bpdu 根据计算机启动时间、文件创建、编辑和访问时间等新闻生成随机种子的key。 文件zlib压缩后进行了aes加密: 最终编辑受害者墙纸，显示恐吓新闻。 安全建议二、建议重要数据进行日常备份，采用360杀毒“文件堡垒”保护，避免文件被错误删除。 三、及时更新安全软件防止病毒。