[ English ]
[ English ]
2015年4月30日
安天CERT分析确认该样本为CTB-Locker(敲诈者)。
CTB-Locker 又名"比特币敲诈者",该病毒正在大规模攻击国内用户,实际上早在2013就出现过Cryptolocker,在 2014年出现了CTB-Locker。CTB-Locker主要通过邮件传播,然后会有一个类似是传真发错邮箱的假象,引诱用户打开附件。该病毒运行后会出现勒索界面,让用户支付比特币进行解密文档、图片等文件。用户可以选择购买比特币,比特币是一种虚拟货币,由于其通过复杂的大量的计算方法可得,使其价格昂贵,该病毒使用3个比特币(690美元=4279.035人民币元)方能解密文档。目前还没有相应可行的解决方案,所以您只有两个选择:支付或者重做系统!
图表 1:勒索界面
样本通过社工邮件进行传播,邮件附件是ZIP压缩包,解压后是个SCR扩展名的样本文件。该样本运行后,会在临时目录释放一个CAB包裹文件,解压为一个RTF文档并打开(此时RTF文件所关联的应用程序将会启动,比如:Word或WPS)。然后,该样本在后台延时下载CTB-Locker文件,并在解密后执行CTB-Locker勒索程序。
图表 2:样本流程
其中SCR文件在后台进行CTB-Locker文件下载时,尝试多个URL下载,有些失效,URL列表如下:
尝试下载URL |
IP |
国籍 |
lasertek.com.sg |
119.81.64.59 |
新加坡(失效) |
empuriadata.es |
91.121.104.100 |
法国(失效) |
shaneproject.org.uk |
46.30.212.236 |
丹麦(失效) |
finam.net |
195.32.69.75 |
意大利 (成功) |
lars-laursen.dk |
195.128.174.141 |
丹麦(失效) |
malagadetectives.es |
217.76.132.193 |
西班牙(失效) |
puntocan.com |
148.251.142.65 |
德国(失效) |
其中finam.net域名连接成功,如下图所示,成功下载run.jpg文件,该文件是个加密的PE文件。通过SCR主文件进行解密执行最终的CTB-Locker程序。
图表 3:连接域名
图表 4:加密文件
图表 5:桌面背景
图表 6:加密文档
图表 7:勒索界面
图表 8:CTB-Locker攻击流程
附:安天恶意代码自动追踪系统——"追影系统"的分析报告: 整个恶意代码的攻击流程:
一、 禁止执行邮件附件中的可执行文件
在接收邮件时,不要轻易打开邮件附件。如果邮件附件为包裹文件时,使用压缩软件如WINRAR打开,将文件解压后,查看解压后的文件是否为可执行文件,如果是,则需要提交到反病毒厂商确认后,尝试在虚拟机中运行。
二、 定期进行重要数据的备份
使用加密软件定期加密备份重要文档文件。并将备份文件后缀名修改为自定义的非常见后缀名。
小提示:如果您收到邮件标题为以下类似标题。请不要点击附件!
[Issue 35078504EBA94667] Account #59859805294 Temporarily Locked
经过此次事件来看,由于软、硬件环境高度复杂和恶意代码行为逻辑的错综复杂,沙箱系统很难做到完美和精确,很多时候还是需要人工分析作为辅助判别手段。
[1] 来源:新浪微博
[2] 安天高级威胁鉴定器——“追影系统”的分析报告
https://www.antiy.com/response/CTB-Locker-by-antiyzhuiying.pdf
安天是专业的下一代安全检测引擎研发企业,安天的检测引擎为网络安全产品和移动设备提供病毒和各种恶意代码的检测能力,并被超过十家以上的著名安全厂商所采用,全球有数万台防火墙和数千万部手机的安全软件内置有安天的引擎。安天获得了2013年度AV-TEST年度移动设备最佳保护奖。依托引擎、沙箱和后台体系的能力,安天进一步为行业企业提供有自身特色的基于流量的反APT解决方案。
关于反病毒引擎更多信息请访问: |
|
关于安天反APT相关产品更多信息请访问: |
文章分享二维码: